Dans un monde où tout est géré en ligne, nous pouvons voir que toutes nos données sont dans une variable de sécurité constante qui a toujours tendance à être vulnérable en raison des milliers d'attaques qui sont exécutées sur le Web.
La plupart d'entre nous effectuons fréquemment des transactions commerciales sur Internet où nos données personnelles, numéros de compte bancaire, numéros de carte de crédit, etc. sont en jeu, ce qui en fait une situation de sécurité délicate car si des informations tombent entre de mauvaises mains, nous pouvons dans de sérieuses difficultés.
Les analystes de la sécurité, en particulier en termes de logiciels malveillants, ont détecté une nouvelle menace, un cheval de Troie bancaire appelé IcedID, qui en est actuellement à ses premiers stades de développement. Solvetic analysera comment agit cette nouvelle menace afin de prendre les mesures de sécurité nécessaires.
Comment ce malware a été découvert
Le groupe de recherche IBM X-Force analyse et surveille en permanence le domaine de la cybercriminalité financière afin de détecter les événements et les tendances qui façonnent le paysage des menaces tant au niveau des organisations que pour les consommateurs financiers, qui totalisent des millions.
Après une année très active en termes de malware bancaire, avec des attaques telles que des malwares sur les points de vente (POS) et des attaques de ransomwares telles que WannaCry, l'équipe X-Force a identifié un nouveau cheval de Troie bancaire naturellement actif appelé IcedID. .
Selon les recherches menées par le groupe X-Force, le nouveau cheval de Troie bancaire est apparu en septembre 2021-2022, lors du lancement de ses premières campagnes de tests. Les chercheurs ont observé qu'IcedID possède un code malveillant modulaire doté de capacités de chevaux de Troie bancaires modernes comparables aux logiciels malveillants tels que le cheval de Troie Zeus. À l'heure actuelle, le logiciel malveillant cible les banques, les fournisseurs de cartes de paiement, les fournisseurs de services mobiles, la paie, la messagerie Web et les sites de commerce électronique aux États-Unis et deux des principales banques britanniques figurent également sur la liste des cibles atteintes par le logiciel malveillant.
IcedID ne semble pas avoir emprunté le code à d'autres chevaux de Troie connus, mais il implémente des fonctionnalités identiques qui lui permettent d'effectuer des tactiques avancées de falsification du navigateur. Bien que les capacités d'IcedID soient déjà comparables à celles d'autres chevaux de Troie bancaires tels que Zeus, Gozi et Dridex, d'autres mises à jour de ce malware devraient arriver dans les semaines à venir.
Propagation de logiciels malveillants
L'analyse du groupe X-Force sur la méthode de livraison du malware IcedID indique que les opérateurs ne sont pas nouveaux dans le domaine de la cybercriminalité et choisissent d'infecter les utilisateurs via le cheval de Troie Emotet. L'enquête X-Force suppose qu'un acteur malveillant, ou un petit cybergenre, a utilisé Emotet comme opération de distribution de chevaux de Troie bancaires et d'autres codes malveillants cette année. La zone d'attaque la plus importante d'Emotet est les États-Unis. Dans une moindre mesure, il cible également les utilisateurs au Royaume-Uni et dans d'autres parties du monde.
Emotet est répertorié comme l'une des méthodes de distribution de logiciels malveillants notables en 2021-2022, au service des groupes de cybercriminalité d'élite d'Europe de l'Est tels que ceux exploités par QakBot et Dridex. Emotet a émergé en 2014 après une fuite du code source original du cheval de Troie Bugat. À l'origine, Emotet était un cheval de Troie bancaire qui a précédé Dridex. En tant que tel, il est conçu pour accumuler et maintenir des botnets. Emotet persiste sur la machine, puis obtient des composants supplémentaires, tels qu'un module anti-spam, un module de ver réseau et le vol de mot de passe et de données pour l'activité de messagerie et de navigateur de l'utilisateur Microsoft Outlook.
Emotet lui-même vient via malspam, généralement dans des fichiers de productivité manipulés qui contiennent des macros malveillantes. Une fois qu'Emotet a infecté le point de terminaison, il devient un résident silencieux et est utilisé pour servir les logiciels malveillants d'autres cybercriminels sans être simplement détecté. IcedID peut mener des attaques qui volent des données financières à l'utilisateur via des attaques de redirection, qui installent un proxy local pour rediriger les utilisateurs vers des sites de clonage, et des attaques par injection Web. Avec cette méthode, le processus du navigateur est injecté pour afficher un contenu faux superposé à l'original. page prétendant être un site Web digne de confiance.
TTP IcedIDLes TTP (Tactiques, Techniques et Procédures - Tactiques, Techniques et Procédures) d'IcedID, ont une série d'éléments qui doivent être considérés et pris en compte lorsqu'on parle de ce malware. En plus des fonctionnalités les plus courantes des chevaux de Troie, IcedID a la capacité de se propager sur un réseau et, une fois sur place, il surveille l'activité en ligne de la victime en configurant un proxy local pour le tunnel de trafic, ce qui rappelle le concept du cheval de Troie GootKit. Leurs tactiques d'attaque incluent des attaques par injection Web et des attaques de redirection sophistiquées similaires au schéma utilisé par Dridex et TrickBot.
Propagation dans le réseau
Les opérateurs d'IcedID ont l'intention de se concentrer sur les affaires car ils ont ajouté dès le départ un module de propagation réseau au malware. IcedID possède la capacité de se déplacer vers d'autres points de terminaison, et les chercheurs de X-Force ont également observé qu'il infectait les serveurs de terminaux. Les serveurs de terminaux fournissent généralement, comme leur nom l'indique, des terminaux, tels que des points de terminaison, des imprimantes et des périphériques réseau partagés, avec un point de connexion commun à un réseau local (LAN) ou à un réseau étendu (WAN), ce qui suggère qu'IcedID a déjà a acheminé les e-mails des employés au sol aux points de terminaison de l'organisation, étendant son attaque.
Dans le graphique suivant, nous pouvons voir les fonctions de propagation réseau d'IcedID, à partir d'un IDA-Pro :
Pour trouver d'autres utilisateurs à infecter, IcedID interroge le protocole LDAP (Lightweight Directory Access Protocol) avec la structure suivante :
Les TTP de fraude financière IcedID incluent deux modes d'attaque
- Attaques par injection Web
- Rediriger les attaques
Pour ce faire, le malware télécharge un fichier de configuration à partir du serveur de commande et de contrôle (C & C) du cheval de Troie lorsque l'utilisateur ouvre le navigateur Internet. La configuration comprend des cibles pour lesquelles une attaque par injection Web sera déclenchée, principalement des banques et d'autres cibles équipées d'attaques de redirection, telles que des cartes de paiement et des sites de messagerie Web.
Déploiement de la charge utile IcedID et détails techniques
Les chercheurs de X-Force ont effectué une analyse dynamique d'échantillons du malware IcedID, et à partir de là, le malware est déployé sur des points de terminaison exécutant différentes versions du système d'exploitation Windows. Il ne semble pas posséder de techniques avancées anti-machine virtuelle (VM) ou anti-enquête, autres que les suivantes :
Nécessite un redémarrage pour terminer le déploiement complet, éventuellement pour contourner les sandbox qui n'émulent pas le redémarrage. Il communique via Secure Sockets Layer (SSL) pour ajouter une couche de sécurité aux communications et éviter les analyses automatisées par les systèmes de détection d'intrusion.
Avec cette opération, les chercheurs de X-Force affirment que des fonctionnalités anti-légales peuvent être appliquées à ce cheval de Troie au fil du temps.
IcedID est implémenté sur les points de terminaison cibles en utilisant le cheval de Troie Emotet comme passerelle. Après le redémarrage, la charge utile est écrite dans le dossier% Windows LocalAppData% avec une valeur générée par certains paramètres du système d'exploitation. Cette valeur est utilisée à la fois dans le chemin de déploiement et dans la valeur RunKey du fichier.
La convention complète pour la valeur est :
% LOCALAPPDATA% \ [a-z] {9} \ [a-z] {9} .exe C: \ Users \ User \ AppData \ Local \ ewonliarl \ ewonliarl.exe HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ ewonliarlLe malware établit son mécanisme de persistance en créant une RunKey dans le registre indiqué pour assurer sa survie après les événements de redémarrage du système. Par la suite, IcedID écrit une clé de cryptage RSA pour le système dans le dossier AppData. Les logiciels malveillants peuvent écrire sur cette clé RSA pendant la routine de déploiement, ce qui peut être lié au fait que le trafic Web est canalisé via le processus IcedID même lorsque le trafic SSL est canalisé.Le fichier temporaire est écrit avec la convention suivante :% TEMP% \ [A-F0-9] {8} .tmp.
C: \ Users \ User \ AppData \ Roaming \ Microsoft \ Crypto \ RSA \ S-1-5-21-2137145731-2486784493-1554833299-1000 \ fdbe618fb7eb861d65554863fc5da9a0_883f9a43-a12c-410f-b47d-bb7275830b Users \ Local UserData \ Temp \ CACCEF19.tmpLe processus IcedID continue de s'exécuter, ce qui est rare pour les logiciels malveillants. Cela pourrait signifier que certaines parties du code sont toujours en cours de correction et que ce problème changera dans la prochaine mise à jour.
Le processus de déploiement se termine ici et le malware continuera à s'exécuter sous le processus Explorer jusqu'au prochain redémarrage de ce point de terminaison. Après l'événement de redémarrage, la charge utile est exécutée et le cheval de Troie IcedID devient résident sur le point de terminaison. À ce stade, les composants malveillants sont en place pour commencer à rediriger le trafic Internet de la victime via un proxy local qu'elle contrôle.
Comment IcedID redirige le trafic Web de la victime
IcedID configure un proxy local pour écouter et intercepter les communications du point de terminaison de la victime et rediriger tout le trafic Internet à travers celui-ci en deux sauts. Tout d'abord, le trafic est transféré vers le serveur local, localhost, (127.0.0.1) via le port 49157, qui fait partie des ports TCP/IP dynamiques et/ou privés. Deuxièmement, le processus malveillant du malware écoute sur ce port et exfiltre les communications pertinentes vers votre serveur C&C.
Bien qu'il ait été développé récemment, IcedID utilise des attaques de redirection. Le schéma de redirection utilisé par IcedID n'est pas un simple transfert vers un autre site Web avec une URL différente, au contraire, il est conçu pour apparaître aussi transparent que possible pour la victime.
Ces tactiques incluent l'affichage de l'URL de la banque légitime dans la barre d'adresse et du certificat SSL correct de la banque, ce qui est possible en maintenant une connexion en direct au site réel de la banque afin que nous n'ayons aucun moyen de détecter la menace. Le schéma de redirection IcedID est implémenté via son fichier de configuration. Le malware écoute l'URL cible dans la liste et, une fois qu'il trouve un déclencheur, exécute une injection Web désignée. Cette injection Web renvoie la victime vers un faux site bancaire configuré à l'avance pour correspondre au site initialement demandé en simulant son environnement.
La victime est amenée à présenter ses informations d'identification sur la réplique de la fausse page, qui l'envoie sans le savoir au serveur de l'attaquant. À partir de ce moment, l'attaquant contrôle la session par laquelle passe la victime, ce qui inclut généralement l'ingénierie sociale pour amener la victime à divulguer les éléments d'autorisation de transaction.
Communication malveillante
Les communications IcedID sont effectuées via le protocole SSL crypté. Lors d'une campagne analysée fin octobre, le malware a communiqué avec quatre serveurs différents C & C. Le graphique suivant montre une vue schématique de l'infrastructure de communication et d'infection d'IcedID :
AGRANDIR
Pour signaler de nouvelles infections au botnet, IcedID envoie un message crypté avec l'identification du bot et les informations système de base comme suit :
Les parties de message décodées montrent les détails suivants qui sont envoyés au C&C
- B = ID de robot
- K = Nom de l'équipe
- L = Groupe de travail
- M = version du système d'exploitation
Panneau d'injection à distance
Pour organiser des attaques par injection Web pour chaque site Web de banque cible, les opérateurs IcedID disposent d'un panneau distant Web dédié accessible avec une combinaison de nom d'utilisateur et de mot de passe identique à la banque d'origine.
Les panneaux d'injection Web sont souvent des offres commerciales que les criminels achètent sur des marchés clandestins. Il est possible qu'IcedID utilise un panel commercial ou qu'IcedID soit un malware commercial. Cependant, à l'heure actuelle, rien n'indique qu'IcedID soit vendu sur les marchés souterrains ou du Dark Web.
Un panneau d'injection à distance ressemblera à ceci :
Comme on peut le voir ici, l'utilisateur est invité à saisir ses identifiants comme il le fait normalement sur le site de sa banque. Le panneau communique à nouveau avec un serveur basé sur la plate-forme Web OpenResty. Selon son site officiel, OpenResty est conçu pour aider les développeurs à créer facilement des applications Web évolutives, des services Web et des portails Web dynamiques en facilitant leur diffusion.
Comment se protéger d'IcedID
Le groupe de recherche X-Force conseille d'appliquer des correctifs de sécurité aux navigateurs et ils ont eux-mêmes effectué le processus suivant :
Internet Explorer
Connect CreateProcessInternalW CertGetCertificateChain CertVerifyCertificateChainPolicy
Firefox
nss3.dll! SSL_AuthCertificateHook
D'autres navigateurs
CreateProcessInternalW CreateSemaphoreA
Bien qu'IcedID soit toujours en train de se répandre, on ne sait pas avec certitude quel impact il aura dans le monde, mais il est idéal d'avoir une longueur d'avance et de prendre les mesures de sécurité nécessaires.
