Real-time threat news

Android.Phantom : des chevaux de Troie Android diffusés via jeux et applications piratées

Tue, 03 Feb 2026 00:00:00 GMT

Le 3 février 2026

Les chevaux de Troie de la famille Android.Phantom infiltrent des smartphones via des jeux et des versions modifiées piratées d'applications populaires. Ils utilisent l'apprentissage automatique et le streaming vidéo pour augmenter le nombre de clics.

Des spécialistes du laboratoire antivirus Doctor Web ont détecté et analysé une nouvelle famille de chevaux de Troie dotés d'une fonctionnalité de clicker. Ils ont une chose en commun : ils sont soit contrôlés depuis le serveur hxxps[:]//dllpgd[.]click, soit téléchargés et exécutés par commande depuis celui-ci.

Ce type de logiciel malveillant infecte les smartphones fonctionnant sous Android.

L'un des canaux de propagation des chevaux de Troie est le catalogue officiel d'applications pour les appareils Xiaomi, GetApps.

Nous avons identifié plusieurs jeux mobiles contenant des logiciels malveillants : Creation Magic World (plus de 32 000 téléchargements), Cute Pet House (>34 000 téléchargements), Amazing Unicorn Party (>13 000 téléchargements), Академия мечты Сакура (>4 000 téléchargements), Theft Auto Mafia (>61 000 téléchargements), Open World Gangsters (>11 000 téléchargements). Tous les jeux infectés sont publiés pour le compte du seul développeur, SHENZHEN RUIREN NETWORK CO., LTD. Des chevaux de Troie y sont intégrés et s'exécutent en même temps que les applications.

Les versions initiales des jeux ne contenaient aucun logiciel malveillant. Le 28 et le 29 septembre, le développeur a publié des mises à jour pour les jeux contenant le cheval de Troie Android.Phantom.2.origin. Il fonctionne dans deux modes, qui dans le code du programme sont conventionnellement appelés mode de signalisation (signaling) et mode fantôme (phantom).

En mode fantôme, le logiciel malveillant utilise un navigateur intégré basé sur le widget WebView, caché à l'utilisateur. Le site cible pour l'augmentation des clics et le fichier JavaScript « phantom » y sont chargés sur commande depuis le serveur hxxps[:]//playstations[.]click. Ce dernier contient un script permettant d'automatiser les actions sur les publicités du site chargé et le framework d'apprentissage automatique TensorFlowJS. Le modèle de ce framework est téléchargé depuis le serveur hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com vers le répertoire de l'application. Dans certains scénarios de fonctionnement avec certains types de publicité, Android.Phantom.2.origin place un navigateur sur un écran virtuel et prend des captures d'écran. Le Trojan les analyse à l'aide d'un modèle pour le framework TensorFlowJS, puis clique sur les éléments détectés.

En mode signalisation, le cheval de Troie se connecte à un serveur tiers via WebRTC. Cette technologie permet aux navigateurs et aux applications d'établir une connexion directe pour échanger des données, de l'audio et de la vidéo en temps réel sans installer de logiciel supplémentaire. En mode signaling, le hxxps[:]//dllpgd[.]click déjà mentionné agit comme un serveur de signalisation, établissant des connexions entre les nœuds WebRTC. Ce serveur détermine également le mode de fonctionnement du cheval de Troie : phantom ou signaling. Les tâches avec des sites cibles proviennent de hxxps[:]//playstations[.]click. Puis, à l’insu de l’utilisateur, Android.Phantom.2.origin diffuse aux attaquants, une vidéo de l'écran virtuel affichant le site web chargé dans le navigateur. Le cheval de Troie permet à un nœud WebRTC connecté de contrôler à distance le navigateur sur un écran virtuel : cliquer, faire défiler, saisir ou coller du texte dans un formulaire de saisie.

Le 15 et le 16 octobre, les jeux mentionnés ci-dessus ont reçu une nouvelle mise à jour. En plus d'Android.Phantom.2.origin, ils ont reçu le module intégré Android.Phantom.5. Il s'agit d'un dropper (programme d'installation) contenant le chargeur de code distant Android.Phantom.4.origin. Ce programme télécharge plusieurs autres chevaux de Troie conçus pour simuler des clics sur différents sites web. Ces modules sont plus simples que le clicker Android.Phantom.2.origin : ils n'utilisent ni apprentissage automatique ni streaming vidéo, mais sont pilotés par des scripts de clic écrits en JavaScript.

Pour utiliser la technologie WebRTC sous Android, le cheval de Troie doit se connecter à une bibliothèque spécialisée via l'API Java, qui n'est pas incluse dans le système d'exploitation standard ni dans les applications téléchargées. Par conséquent, dans un premier temps, le cheval de Troie fonctionnait principalement en mode phantom. Avec l'ajout d'Android.Phantom.5, à l'application, le Trojan Android.Phantom.2.origin a acquis la capacité d'utiliser le chargeur de code distant Android.Phantom.4.origin pour charger la bibliothèque nécessaire.

Les attaquants utilisent également d'autres canaux pour distribuer les chevaux de Troie Android.Phantom.2.origin et Android.Phantom.5. Par exemple, des mods pour le streaming musical Spotify avec des fonctionnalités premium débloquées. Elles sont publiées sur différents sites web, voici quelques exemples :

Site Spotify Plus

Site Spotify Pro

Et dans les canaux Telegram spécialisés :

Spotify Pro
(54 400 abonnés)

Spotify Plus – Official
(15 057 abonnés)

Les mods Spotify publiés sur les sites web et dans les chaînes Telegram présentés dans les captures d'écran contiennent Android.Phantom.2.origin et une bibliothèque pour la communication WebRTC sur Android.

A part les mods Spotify, les pirates installent également des chevaux de Troie dans les mods d'autres applications populaires : YouTube, Deezer, Netflix et autres. Ils sont publiés sur des sites de mods spécialisés :

Site Apkmody

Site Moddroid

Le site web Moddroid contient une section « Choix de l'éditeur ». Sur les 20 applications qu'elle contenait, seules 4 étaient saines. Les 16 autres contenaient des chevaux de Troie de la famille Android.Phantom. Les applications de ces deux sites sont téléchargées à partir du même serveur CDN hxxps[:]//cdn[.]topmongo[.]com. Ces sites possèdent leurs propres canaux Telegram où les utilisateurs téléchargent des mods infectés par des chevaux de Troie :

Moddroid.com
(87 653 abonnés)

Apkmody Chat
(6 297 abonnés)

Les criminels utilisent également les serveurs Discord à leurs propres fins. Le plus important d'entre eux est Spotify X, avec environ 24 000 abonnés.

Les administrateurs de serveurs Discord n'hésitent pas à proposer directement des mods infectés. Par exemple, dans la capture d'écran ci-dessus, l'administrateur du serveur propose de télécharger un mod pour le service de streaming musical Deezer au lieu de Spotify, ce dernier ayant cessé de fonctionner.

Le mod opérationnel peut être téléchargé via le lien. Son code est protégé par un outil d'empaquetage commercial, à l'intérieur duquel le cheval de Troie Android.Phantom.1.origin est dissimulé. Il s'agit d'un chargeur de code distant ; sur commande du serveur hxxps[:]//dllpgd[.]click, il charge Android.Phantom.2.origin, Android.Phantom.5 et le Trojan espion Android.Phantom.5.origin. Ce dernier transmet aux attaquants des informations sur l'appareil, notamment, le numéro de téléphone, la géolocalisation et la liste des applications installées.

La capture d'écran du serveur montre les langues parlées par les utilisateurs qui deviennent des cibles d'infection. Pour accéder aux discussions dans des langues autres que l'anglais, vous devez configurer une réaction avec le drapeau approprié. Les langues les plus populaires pour s'enregistrer étaient l'espagnol, le français, l'allemand, le polonais et l'italien (sans compter l'anglais, qui est la langue principale du serveur). De plus, les administrateurs du serveur n'ont pas mis en place de chat pour de nombreux pays asiatiques.

Les chevaux de Troie peuvent causer des dommages importants aux propriétaires des appareils infectés. Voici quelques résultats possibles :

Complicité involontaire : Le smartphone d'un utilisateur peut être utilisé comme un bot dans une attaque DDoS, faisant ainsi de son propriétaire un complice involontaire de la cybercriminalité.
Activité illégale : L'appareil peut être utilisé par des pirates informatiques pour se livrer à des activités illégales en ligne, comme l'utilisation du smartphone pour des escroqueries ou l'envoi de messages indésirables.
Augmentation de la consommation de la batterie et du trafic : Les activités superflues entrainent une consommation accrue de la batterie et du forfait internet.
Fuite de données personnelles : Android.Phantom.5.origin est un logiciel espion capable de transmettre des données concernant l'appareil et son propriétaire.

Les chevaux de Troie de cette famille constituent une menace pour les propriétaires d'appareils mobiles Android qui ne sont pas protégés par un logiciel antivirus à jour. Les jeunes utilisateurs qui ne se soucient pas des règles d'hygiène numérique et qui veulent simplement jouer à des jeux, écouter de la musique ou regarder des clips vidéo sont particulièrement exposés.

Nous vous recommandons de ne pas télécharger de mods provenant de sites web et de chaînes douteux. En règle générale, vérifier les sources des mods ou des applications nécessite du temps, de l'expérience et de l'observation. Par conséquent, la meilleure option pour assurer votre tranquillité d'esprit et celle de vos proches est d'utiliser Dr.Web Security Space pour les appareils mobiles. Cette solution protégera non seulement vos smartphones, mais également vos autres appareils intelligents : consoles de jeux, tablettes, téléviseurs connectés.

Indicateurs de compromission
Plus d'info sur Android.Phantom.1.origin
Plus d'info sur Android.Phantom.2.origin
Plus d'info sur Android.Phantom.3
Plus d'info sur Android.Phantom.4.origin
Plus d'info sur Android.Phantom.5
Plus d'info sur Android.Phantom.5.origin

Trojan ChimeraWire : un malware qui simule des clics d’utilisateurs pour booster les sites dans Google

Mon, 29 Dec 2025 11:42:13 GMT

le 29 décembre 2025

Introduction

Lors de l'examen d'un programme partenaire, les experts de Doctor Web ont découvert un logiciel malveillant unique doté d’une fonctionnalité de clicker qui a reçu le nom de Trojan.ChimeraWire. Ce logiciel fonctionne sur les ordinateurs sous Windows et est basé sur les projets open source zlsgo et Rod, destinés à la gestion automatique des sites et des applications web.

Trojan.ChimeraWire permet aux attaquants d'imiter des actions d'utilisateurs et de manipuler les facteurs comportementaux des sites web, augmentant ainsi artificiellement leur classement dans les résultats des moteurs de recherche. Pour ce faire, le logiciel malveillant recherche les ressources Internet nécessaires dans les systèmes Google et Bing, puis les ouvre. Il imite également les actions de l'utilisateur en cliquant automatiquement sur les liens publiés sur des sites web téléchargés. Le cheval de Troie exécute toutes ses actions malveillantes via le navigateur Google Chrome, qu'il télécharge à partir d'une ressource spécifique et exécute en mode débogage caché via le protocole WebSocket.

Trojan.ChimeraWire s'introduit sur les ordinateurs suite à l'action de plusieurs programmes de téléchargement malveillants. Ils utilisent diverses techniques d'élévation de privilèges basées sur l'exploitation de vulnérabilités de la classe DLL Search Order Hijacking, ainsi que des techniques anti-débogage pour éviter d'être détectés. Notre laboratoire antivirus a identifié au moins deux chaînes d'infection les impliquant. Le script malveillant Python.Downloader.208 occupe la place principale dans l'une de ces chaînes, et le programme malveillant Trojan.DownLoader48.61444 — dans la deuxième, dont le principe de fonctionnement est similaire à celui de Python.Downloader.208 et il agit ainsi comme son alternative.

Dans cette étude nous allons envisager les caractéristiques de Trojan.ChimeraWire et des programmes malveillants qui livrent ce malware sur les appareils d'utilisateurs.

Première chaîne de contamination

Le schéma qui illustre la première chaîne de contamination

La première chaîne de contamination commence par le Trojan Trojan.DownLoader48.54600. Il vérifie s'il s'exécute dans un environnement simulé, et s'arrête s'il détecte des signes d'une machine virtuelle ou d'un mode débogage. S'il n'en trouve pas, le Trojan télécharge à partir d'un serveur C2 l'archive ZIP python3.zip. Cette archive contient le script Python malveillant Python.Downloader.208, ainsi que des fichiers auxiliaires nécessaires pour son fonctionnement, dont la bibliothèque malveillante ISCSIEXE.dll (Trojan.Starter.8377). Trojan.DownLoader48.54600 déballe l'archive et lance le script. Ce script représente la deuxième étape de contamination ; c'est un programme de téléchargement qui télécharge l'étape suivante depuis le serveur C2.

Le comportement de Python.Downloader.208 dépend des droits dont il dispose au démarrage. Si le script est lancé sans droits d'administrateur, il tente de les obtenir. Pour ce faire, le Trojan extrait également de l'archive Trojan.Starter.8377 et le copie dans le répertoire %LOCALAPPDATA%\Microsoft\WindowsApps. De plus, le script runs.vbs est créé. Ce script sera utilisé plus tard pour le prochain lancement de Python.Downloader.208.

Ensuite Python.Downloader.208 lance l'application système %SystemRoot%\SysWOW64\iscsicpl.exe. En raison de la présence d'une vulnérabilité de la classe DLL Search Order Hijacking, cette appli télécharge automatiquement la bibliothèque de Trojan ISCSIEXE.dll, dont le nom coïncide avec le nom du composant légitime du système d'exploitation Windows.

À son tour, Trojan.Starter.8377 lance le script VBS runs.vbs, qui réexécute Python.Downloader.208 – cette fois avec les droits d'administrateur.

Lorsqu'il est exécuté avec les privilèges requis, Python.Downloader.208 télécharge depuis le serveur C2 une archive protégée par mot de passe onedrive.zip. Il contient la prochaine étape de contamination — le logiciel malveillant Trojan.DownLoader48.54318 sous forme d'une bibliothèque nommée UpdateRingSettings.dll — et les fichiers auxiliaires nécessaires à son fonctionnement (par exemple, l'application légitime OneDrivePatcher.exe du système d'exploitation Windows avec une signature numérique valide, liée au logiciel OneDrive).

Après avoir décompressé l'archive, Python.Downloader.208 crée une tâche dans le planificateur système pour lancer le programme OneDrivePatcher.exe au démarrage de l'OS.

Ensuite il lance cette application. En raison de la présence de la vulnérabilité DLL Search Order Hijacking elle télécharge automatiquement la bibliothèque UpdateRingSettings.dll, dont le nom coïncide avec le nom du composant du logiciel OneDrive.

Une fois que Trojan.DownLoader48.54318 a pris le contrôle, il vérifie s'il s'exécute dans un environnement artificiel. Dès qu'il détecte un signe de fonctionnement dans une machine virtuelle ou en mode débogage, il s'arrête.

Si de tels signes ne sont pas détectés, la bibliothèque du cheval de Troie tente de télécharger une charge utile depuis le serveur C2, ainsi que les clés de chiffrement permettant de la déchiffrer.

La charge utile déchiffrée est un conteneur ZLIB contenant du shellcode et un fichier exécutable. Après avoir déchiffré le conteneur, Trojan.DownLoader48.54318 tente de le déballer. Si la tentative échoue, le Trojan se supprime et le processus termine. En cas de succès, le contrôle est transféré au shellcode, dont la tâche consiste à décompresser le fichier exécutable qui y est inclus. Ce fichier représente l'étape finale de la contamination : le cheval de Troie cible Trojan.ChimeraWire.

Deuxième chaîne de contamination

La deuxième chaîne commence par le programme malveillant Trojan.DownLoader48.61444. Lors de son lancement, il vérifie les droits d'administrateur et, le cas échéant, tente de les obtenir.

Le cheval de Troie utilise la technique de masquage Masquerade PEB pour contourner les systèmes de sécurité en se faisant passer pour le processus légitime explorer.exe.

Il introduit ensuite un patch pour corriger la copie de la bibliothèque système %SystemRoot%\System32\ATL.dll. Pour ce faire, Trojan.DownLoader48.61444 lit son contenu, ajoute à la bibliothèque le bytecode déchiffré et le chemin vers son fichier, puis enregistre la version modifiée en tant que fichier dropper dans le même répertoire où il se trouve.

Le cheval de Troie initialise ensuite les objets du modèle COM (Component Object Model) du shell Windows pour le service %SystemRoot%\System32\wbem et la bibliothèque modifiée.

Si l'initialisation réussit, Trojan.DownLoader48.61444 tente d'obtenir des privilèges d'administrateur en utilisant l'interface COM CMSTPLUA, et en exploitant une vulnérabilité commune à certaines interfaces COM anciennes.

En cas de succès, la bibliothèque modifiée dropper est copiée vers le répertoire %SystemRoot%\System32\wbem sous forme de fichier ATL.dll. Puis le Trojan Trojan.DownLoader48.61444 lance le composant système de gestion WMI WmiMgmt.msc. En conséquence, la vulnérabilité DLL Search Order Hijacking est exploitée dans l'application système mmc.exe, qui charge automatiquement la bibliothèque %SystemRoot%\System32\wbem\ATL.dll avec un correctif.

Elle, à son tour, relance ensuite Trojan.DownLoader48.61444, mais cette fois avec les droits d'administrateur.

Le schéma du fonctionnement de Trojan.DownLoader48.61444 sans droits d'administrateur

Lorsqu'il est exécuté en tant qu'administrateur, Trojan.DownLoader48.61444 exécute plusieurs scripts PowerShell pour télécharger la charge utile depuis le serveur C2. L'un des objets téléchargés est l'archive zip one.zip. Il contient des fichiers similaires à ceux de l'archive onedrive.zipde la première chaîne (en particulier, le programme légitime OneDrivePatcher.exe et la bibliothèque malveillante UpdateRingSettings.dll — Trojan.DownLoader48.54318).

Trojan.DownLoader48.61444 décompresse l'archive et crée une tâche dans le planificateur système pour démarrer automatiquement OneDrivePatcher.exe au démarrage du système.

Le Trojan lance également cette application. Tout comme dans la première chaîne, lorsqu'il est lancé, dans OneDrivePatcher.exe, la vulnérabilité DLL Search Order Hijacking est exploitée et le téléchargement de la bibliothèque de Trojan UpdateRingSettings.dll est effectué automatiquement. La chaîne de contamination se répète alors selon le premier scénario.

Dans le même temps, Trojan.DownLoader48.61444 télécharge la deuxième archive ZIP : two.zip. Elle contient le script malveillant Python.Downloader.208 (update.py), ainsi que les fichiers nécessaires à son lancement. Parmi eux se trouve Guardian.exe — un interpréteur de console renommé du langage Python pythonw.exe.

Une fois l'archive décompressée, Trojan.DownLoader48.61444 crée une tâche dans le planificateur système pour démarrer automatiquement Guardian.exe au démarrage du système. De plus, en utilisant cette application, il exécute le script malveillant Python.Downloader.208.

En reproduisant partiellement la première chaîne de contamination, les attaquants ont apparemment cherché à augmenter la probabilité de réussir le téléchargement du cheval de Troie Trojan.ChimeraWire sur les systèmes cibles.

Le schéma du fonctionnement de Trojan.DownLoader48.61444 avec les droits d'administrateur

Trojan.ChimeraWire

Trojan.ChimeraWire tire son nom de la combinaison des mots « chimère » ("chimera" en anglais, une créature mythologique composée de parties du corps de différents animaux) et «wire» ( « fil » en anglais). Le mot
« chimère » décrit la nature hybride des techniques des attaquants : l'utilisation de chevaux de Troie téléchargeurs écrits dans différents langages, ainsi que des techniques anti-débogage et d'élévation de privilèges pendant le processus d'infection.
De plus, cela reflète le fait que le cheval de Troie est une combinaison de divers frameworks, plugins et logiciels légitimes par lesquels un contrôle caché du trafic est effectué.
C’est de là que vient le deuxième mot, « wire » : il fait référence au travail invisible et malveillant du cheval de Troie sur le réseau.

Une fois pénétré sur l'ordinateur cible, Trojan.ChimeraWire télécharge depuis un site tiers l'archive ZIP chrome-win.zip avec le navigateur Google Chrome pour Windows. Il convient de noter que cette ressource stocke également des archives de versions de Google Chrome pour d'autres systèmes, tels que Linux et macOS, y compris celles pour diverses plateformes matérielles.

Le site web proposant différentes versions du navigateur Google Chrome, à partir duquel le cheval de Troie télécharge l'archive nécessaire.

Après avoir téléchargé le navigateur, Trojan.ChimeraWire tente d'installer discrètement les extensions NopeCHA et Buster, conçues pour la reconnaissance automatisée des captchas. Ces extensions seront utilisées par le cheval de Troie lors de son exécution.

Il lance ensuite le navigateur en mode débogage sans fenêtre visible, ce qui lui permet de mener des activités malveillantes sans attirer l'attention de l'utilisateur. Ensuite, une connexion est établie au port de débogage sélectionné automatiquement via le protocole WebSocket.

Le cheval de Troie commence alors à recevoir des tâches. Il envoie une requête au serveur C2 et reçoit en réponse une chaîne de caractères base64 contenant une configuration chiffrée avec l'algorithme AES-GCM au format JSON.

Voici un exemple de configuration envoyée au cheval de Troie par le serveur C2.

Il contient des tâches et leurs paramètres associés :

moteur de recherche cible (Google et Bing sont pris en charge) ;
mots clés pour la recherche de sites dans un moteur de recherche donné et leur ouverture ultérieure ;
nombre maximal de clics consécutifs sur les pages web ;
distribution aléatoire des clics automatisés sur les pages web ;
délai d’attente avant le chargement de la page ;
domaines cibles.

Pour mieux simuler l’activité humaine réelle et contourner les systèmes de suivi d’activité continue, la configuration inclut également des paramètres pour les pauses entre les sessions de travail.

Simulation des clics de souris de l'utilisateur

Trojan.ChimeraWire est capable d'effectuer les types de clics suivants :

naviguer dans les résultats de recherche ;
ouvrir les liens pertinents trouvés dans de nouveaux onglets en arrière-plan.

Trojan.ChimeraWire commence par rechercher des sites web à l'aide du moteur de recherche spécifié, en se basant sur les domaines et les mots-clés définis dans la configuration.

Il ouvre ensuite les sites web trouvés dans les résultats de recherche et repère tous les éléments HTML définissant des liens hypertextes. Le cheval de Troie les place dans un tableau de données et les mélange de sorte que les objets qui s'y trouvent soient disposés dans une séquence différente de celle de la page web. Cette méthode permet de contourner les systèmes de protection anti-bots des sites web, capables de suivre l'ordre des clics.

Trojan.ChimeraWire vérifie ensuite si les liens trouvés sont fonctionnels et si les chaînes de caractères qu'ils contiennent correspondent au modèle de configuration spécifié, puis il compte le nombre total de correspondances.

Les actions ultérieures du cheval de Troie dépendent de ce nombre. Si un nombre suffisant de liens correspondants est trouvé sur la page, Trojan.ChimeraWire analyse la page et trie les liens trouvés par pertinence (les liens qui correspondent le mieux aux mots-clés apparaissent en premier). Ensuite, un ou plusieurs liens correspondants sont cliqués.

Si le nombre de correspondances avec le modèle spécifié est insuffisant ou qu'il n'y a pas de correspondances, le logiciel malveillant utilise un algorithme doté d'un modèle de comportement probabiliste qui imite de près les actions d'un véritable utilisateur.

En fonction des paramètres de configuration, Trojan.ChimeraWire utilise une distribution aléatoire pondérée pour déterminer le nombre de liens à suivre. Par exemple, la distribution ["1:90", "2:10"] signifie que Trojan.ChimeraWire cliquera sur 1 lien avec la probabilité de 90 % et sur 2 liens avec la probabilité de 20 %. Ainsi, le logiciel malveillant est très susceptible de cliquer sur un seul lien.

Le cheval de Troie sélectionne aléatoirement un lien dans un tableau préalablement compilé et clique dessus.

Après chaque clic sur un lien provenant d'un résultat de recherche ou sur une page chargée, le cheval de Troie, revient à l'onglet précédent ou passe au suivant, selon la tâche. La séquence d'actions se répète jusqu'à ce que la limite de clics pour les sites web cibles soit atteinte.

Vous trouverez ci-dessous des exemples de sites web dont les paramètres d'interaction ont été envoyés au cheval de Troie via des tâches du serveur C2 :

Des descriptions techniques détaillées du cheval de Troie ChimeraWire et des logiciels malveillants impliqués dans son téléchargement sont disponibles dans la version PDF de l'étude et dans la bibliothèque de virus de Doctor Web.

Plus d'info sur Trojan.ChimeraWire
Plus d'info sur Trojan.DownLoader48.54600
Plus d'info sur Trojan.Starter.8377
Plus d'info sur Python.Downloader.208
Plus d'info sur Trojan.DownLoader48.54318
Plus d'info sur Trojan.DownLoader48.61444

Conclusion

Actuellement, l'activité malveillante de Trojan.ChimeraWire se résume essentiellement à effectuer des tâches de clic relativement simples pour gonfler la popularité de sites web. Dans le même temps, les fonctionnalités des utilitaires qui constituent la base du Trojan permettent au cheval de Troie d'effectuer un plus large éventail de tâches, y compris des actions automatisées sous couvert d'une véritable activité utilisateur. Notamment, il peut être utilisé par des attaquants pour remplir des formulaires web, comme ceux présents sur les sites web qui réalisent des enquêtes à des fins publicitaires. De plus, ils peuvent l'utiliser pour lire le contenu des pages web et en faire des captures d'écran, à la fois à des fins de cyberespionnage et pour la collecte automatique d'informations afin d'alimenter diverses bases de données (par exemple, avec des adresses postales, des numéros de téléphone, etc.).

Ainsi, de nouvelles versions de Trojan.ChimeraWire pourraient apparaître à l'avenir, dans lesquelles ces fonctions et d'autres seront pleinement implémentées. Les analystes de Doctor Web continuent à surveiller la situation liée à ce Trojan.

Matrice MITRE

Étape	Technique
Exécution	Exécution assistée par l'utilisateur (T1204) Fichier malveillant (T1204.002) Bibliothèque malveillante (T1204.005) PowerShell (T1059.001) Invite de commandes Windows (T1059.003) Visual Basic (T1059.005) Python (T1059.006) Planificateur de tâches Windows (T1053.005)
Épinglage	Clés de démarrage dans le Registre Windows / Répertoire de démarrage (T1547.001) Tâche planifiée / tâche (T1053)
Élévation de privilèges	Détournement de flux : Détournement de recherche de DLL (T1574.001) Contournement du contrôle de compte d'utilisateur (T1548.002)
Évitement de la détection	Fichier chiffré/codé (T1027.013) Évasion du débogage (T1622) Fenêtre cachée (T1564.003) Exceptions de fichier ou de chemin (T1564.012) Désobfuscation/décodage de fichiers ou de données (T1140) Détournement de flux d'exécution : détournement de recherche de DLL (T1574.001)
Organisation de la gestion	Communication bidirectionnelle (T1102.002) Protocoles Web (T1071.001)

Indicateurs de compromission

L'attaque ClickFix, comment ça marche ?

Fri, 24 Oct 2025 09:52:06 GMT

Les utilisateurs du monde entier sont alarmés par la vague croissante d'attaques ClickFix. Il s'agit d'un type d'ingénierie sociale dans lequel les attaquants incitent l'utilisateur à exécuter du code malveillant sur l'appareil.

L'attaque commence par une visite sur un site piraté ou faux, où un avertissement est affiché : par exemple, que la page est affichée de manière incorrecte, qu'une erreur s'est produite dans le navigateur ou qu'une mise à jour est requise.
Un bouton « Corriger », « Vérifier » ou « Mettre à jour » apparaît à l'écran. Lorsqu'il apparaît, un code malveillant est copié dans le presse-papiers, il n'est même pas nécessaire de cliquer sur le bouton — la copie est automatique. L'utilisateur est ensuite invité à coller ce code dans une invite de commandes ou une fenêtre en cliquant sur "Exécuter". Dès qu'il le fait, le programme malveillant démarre et s'installe, souvent sans la participation d'un antivirus, car les actions proviennent de l'utilisateur lui-même.

Ci-dessous une simulation d'une attaque ClickFix simplifiée

Lors du lancement et de l'affichage du contenu dans le navigateur, un avertissement apparaît de manière inattendue pour l'utilisateur et lui dit que quelque chose s'est mal passé avec l'affichage du contenu de la page, et des erreurs sont associées à une mise à jour récente du navigateur.

Pour remédier au problème, l'utilisateur est invité à effectuer un certain nombre de manipulations pour corriger ce problème :

Appuyer sur le bouton de correction "Fix it !" ;
Cliquer avec le bouton droit de la souris sur l'icône Windows ;
Dans la liste, sélectionner Windows PowerShell avec les droits d'administrateur ;
Cliquer avec le bouton droit de la souris pour coller le code et l'exécuter.

Lorsqu'il appuie sur le bouton dans le navigateur, un script exécutable malveillant est copié inaperçu par l'utilisateur, suivi de son insertion dans le terminal PowerShell et de son exécution :

Le script crée une connexion à distance à l'infrastructure C2 qui permet aux attaquants de contrôler à distance les systèmes compromis.
Dans ce cas, une connexion est créée avec un hôte distant C2, une charge utile est téléchargée sous la forme d'un fichier exécutable sur l'hôte de l'utilisateur, qui est conçu pour modifier le fichier hosts, et le mécanisme de son activation est lancé, suivi de l'achèvement du script.
Au stade du lancement d'un fichier malveillant, les solutions Dr.Web le détectent à l'aide d'un système de protection préventive.
Une autre variante courante de l'attaque ClickFix imite le captcha. Un contrôle prétendument légitime apparaît à l'écran, et en arrière-plan, un code malveillant est copié dans le presse-papiers. Un tel masquage augmente la probabilité d'une attaque réussie, forçant les utilisateurs à interagir involontairement avec du contenu malveillant et à penser en même temps qu'ils confirment tout simplement qu'ils ne sont pas des robots.

Ensuite, des instructions pour exécuter le code apparaissent.

Si l'utilisateur suit toutes les étapes, cela donne à l'attaquant un accès à distance à l'appareil : l'utilisateur exécute accidentellement un script malveillant.

Pourquoi est-il difficile de détecter une attaque ClickFix

Lorsque l'utilisateur clique sur un bouton sur un site malveillant, l'antivirus ne voit pas encore de menace. Cela est dû au fait qu'à la première étape, toutes les actions semblent tout à fait légitimes : l'utilisateur copie lui-même les commandes, les insère et les exécute lui-même — comme s'il effectuait les opérations système habituelles.
La détection se produit plus tard — lorsqu'un fichier malveillant est lancé ou que du code tente de s'intégrer dans d'autres processus du système. C'est à ce stade que l'antivirus reconnaît la menace et la neutralise. En d'autres mots, la protection est déclenchée au stade dit post-opératoire, lorsque le logiciel malveillant commence des actions actives : interfère avec les processus protégés ou se comporte de manière inhabituelle.
À ce moment-là, l'attaquant s'est généralement déjà connecté au système de la victime. Cela signifie que la charge malveillante principale (charge utile) est livrée et qu'elle peut être déguisée en processus normaux.
À ce stade, l'attaquant est capable d’effectuer les actions suivantes :

approfondir sa présence dans le système (obtenir plus de droits),
collecter des données,
naviguer sur le réseau,
tenter de désactiver la protection antivirus.

De plus, des logiciels malveillants peuvent être cryptés ou intriqués (obscurcis), ce qui les rend moins visibles pour les mécanismes de sécurité standard.

Pourquoi il est important d'agir le plus tôt possible

Dans ce contexte, il devient particulièrement important non seulement de répondre à la menace après son lancement, mais aussi d'empêcher l'intrus de se connecter au système. Pour ce faire, les méthodes suivantes peuvent être utilisées :

vérifier le contenu du presse-papiers si des messages suspects avec des commandes apparaissent dans le navigateur (par exemple, PowerShell),
analyser le trafic réseau et les tentatives d'établissement de connexions suspectes,
former les utilisateurs aux méthodes de reconnaissance de l'ingénierie sociale, et ceci avec une analyse de scénarios d'attaque réels.

Eminence grise Baohuo. Une porte dérobée Android prend le contrôle total des comptes Telegram

Thu, 23 Oct 2025 13:36:55 GMT

le 23 octobre 2025

Doctor Web a identifié une porte dérobée dangereuse Android.Backdoor.Baohuo.1.origin dans les versions du messager Telegram X modifiées par les pirates. En plus de la possibilité de voler des données confidentielles, y compris le login et le mot de passe de l'utilisateur, ainsi que l'historique de la correspondance, ce logiciel malveillant possède un certain nombre de fonctionnalités uniques. Par exemple, pour empêcher sa détection et le fait de compromettre le compte, Android.Backdoor.Baohuo.1.origin est capable de masquer les connexions des appareils tiers dans la liste des sessions Telegram actives. De plus, il peut ajouter et exclure un utilisateur des canaux Telegram, entrer et sortir des chats en son nom, en masquant ces actions. En fait, avec son aide, les attaquants obtiennent un contrôle total sur le compte et sur les fonctions de messagerie de la victime, tandis que le cheval de Troie lui-même est un outil pour gonfler le nombre d'abonnés dans les canaux Telegram. Les cybercriminels contrôlent la porte dérobée, y compris via la base de données Redis, ce qui n'a jamais été vu auparavant dans les menaces ciblant Android. Nos experts estiment que le nombre total d'appareils contaminés par Android.Backdoor.Baohuo.1.origin a dépassé 58 000.

La propagation d’Android.Backdoor.Baohuo.1.origin a commencé à la mi-2024, comme en témoignent les modifications antérieures trouvées lors de son analyse. La principale façon de fournir la porte dérobée aux appareils cibles est de faire de la publicité à l'intérieur des applications mobiles. Les victimes potentielles voient des annonces qui proposent d'installer le messager Telegram X. Lorsqu'ils cliquent sur la bannière, les utilisateurs sont redirigés vers des sites malveillants à partir desquels le fichier APK de cheval de Troie est téléchargé.

Ces sites sont conçus dans le style d'une boutique d'applications, et le messager lui-même y est positionné comme une plateforme de recherche pratique d'un partenaire pour la communication et les dates. Ceci est mis en évidence à la fois par des bannières avec du texte publicitaire sur les « chats vidéo gratuits » et des invitations à « parler » (par exemple, sous le couvert de captures d'écran de la fenêtre d'appel vidéo), et par des critiques d'utilisateurs prétendument satisfaits écrites par des malfaiteurs. Il est à noter que les pages Web offrent une possibilité de choisir la langue de conception, mais les images elles-mêmes ne changent pas.

L'un des sites malveillants à partir desquels la version Trojan de Telegram X est téléchargée. Les victimes potentielles sont invitées à installer un programme où, selon les « avis », il est facile de trouver un partenaire pour la communication et les rencontres

Actuellement, les cybercriminels ont préparé des modèles standard avec des bannières pour seulement deux langues : le portugais avec un accent sur les utilisateurs du Brésil, ainsi que l'indonésien. Ainsi, les habitants du Brésil et de l'Indonésie sont la cible principale des attaquants. Néanmoins, il ne peut être exclu qu'au fil du temps, l'intérêt des attaquants se propage aux utilisateurs d'autres pays.

L'étude de l'infrastructure réseau des attaquants a permis de déterminer l'ampleur de leurs activités. En moyenne, les analystes de Doctor Web observent environ 20 000 connexions actives d’Android.Backdoor.Baohuo.1.origin. Dans le même temps, le nombre total d'appareils contaminés a dépassé 58 000. Environ 3 000 modèles différents de smartphones, de tablettes, de décodeurs et même de voitures avec des ordinateurs de bord basés sur Android ont été infectés.

Pays avec le plus grand nombre d'appareils contaminés par Android.Backdoor.Baohuo.1.origin (selon le laboratoire antivirus de Doctor Web)

Cependant Android.Backdoor.Baohuo.1.origin ne se propage pas seulement via des sites malveillants : nos experts l'ont trouvé dans des répertoires tiers d'applications Android — par exemple, APKPure, ApkSum et AndroidP. Notamment, il est publié dans la boutique APKPure pour le compte du développeur officiel de messenger, malgré le fait que les signatures numériques de l'original et de la modification du cheval de Troie sont différentes. Nous avons notifié les plateformes en ligne où des versions cheval de Troie de Telegram X ont été trouvées.

Le Telegram X modifié avec d’Android.Backdoor.Baohuo.1.origin, qui peuvent être divisées en 3 groupes principaux de modifications Telegram X :

Le laboratoire antivirus de Doctor Web a identifié plusieurs variantes Android.Backdoor.Baohuo.1.origin, которые условно можно разделить на 3 основные группы модификаций Telegram X:

versions dans lesquelles les attaquants ont intégré une porte dérobée dans le fichier principal DEX exécutable du messager,
versions dans lesquelles la porte dérobée sous la forme d'un patch est intégrée dynamiquement dans le fichier DEX exécutable à l'aide de l'utilitaire LSPatch,
versions dans lesquelles la porte dérobée se trouve dans un fichier DEX séparé, dans le répertoire avec les ressources du programme et est chargée dynamiquement.

Quel que soit le type de modification, Android.Backdoor.Baohuo.1.origin est initialisé lors du lancement du messager lui-même. Le messager reste opérationnel et ressemble à un programme régulier pour les utilisateurs. Cependant, en réalité, les attaquants par la porte dérobée la contrôlent complètement et peuvent même changer la logique de son fonctionnement.

Lorsque les cybercriminels doivent effectuer une action qui ne nécessite pas d'interférence avec la fonctionnalité principale du programme, des « miroirs » pré-préparés des méthodes d'application nécessaires sont utilisés. Par exemple, ils peuvent être utilisés pour afficher des messages d'hameçonnage dans des fenêtres qui ne seront pas différentes des vraies fenêtres Telegram X.

Les méthodes sont des blocs de code distincts dans la structure des applications Android qui sont responsables de l'exécution de certaines tâches.

Si l'action n'est pas standard pour le programme, alors le framework Xposed est utilisé, ce qui modifie directement une fonctionnalité de messagerie particulière par le biais d'une modification dynamique des méthodes. En particulier, il masque certains chats et appareils autorisés, et intercepte le contenu du presse-papiers.

La principale différence entre les premières versions de l'application malveillante et les versions actuelles réside dans la gestion du cheval de Troie. Dans les anciennes versions, la communication avec les pirates et la réception des tâches de leur part sont mises en œuvre de manière traditionnelle — via un serveur C2. Cependant, au fil du temps, les auteurs de virus ont ajouté à Android.Backdoor.Baohuo.1.origin une option permettant d'envoyer des commandes supplémentaires via la base de données Redis, élargissant ainsi ses fonctionnalités et fournissant deux canaux de contrôle indépendants. Dans le même temps, ils ont prévu la duplication de nouvelles commandes via un serveur C2 standard au cas où la base de données ne serait pas disponible. C'est le premier fait connu de l'utilisation de Redis pour gérer des logiciels malveillants ciblant Android.

Au démarrage, Android.Backdoor.Baohuo.1.origin se connecte au serveur C2 initial pour télécharger la configuration, qui contient entre autres des données pour se connecter à Redis. Via cette base de données, les attaquants envoient non seulement certaines commandes à une application malveillante, mais mettent également à jour les paramètres du cheval de Troie. Notamment, ils attribuent l'adresse du serveur C2 actuel, ainsi que du serveur NPS (Network Policy Server - serveur de politique réseau). Ce dernier est utilisé par les auteurs de virus pour connecter les appareils infectés à leur réseau interne (intranet) et les transformer en proxy pour accéder à Internet.

Android.Backdoor.Baohuo.1.origin communique périodiquement avec le serveur C2 via des appels API et peut recevoir les tâches suivantes :

télécharger les SMS entrants et les contacts de l'annuaire téléphonique d'un appareil infecté vers le serveur C2,
envoyer le contenu du presse-papiers au serveur lorsque la fenêtre du messager est minimisée et lorsque l'on rentre à sa fenêtre,
recevoir du serveur C2 des adresses Internet pour afficher de la publicité, ainsi que l'adresse du serveur pour télécharger les mises à jour du cheval de Troie sous la forme d'un fichier DEX exécutable,
obtenir des clés de chiffrement qui sont utilisées lors de l'envoi de certaines données au serveur C2 - par exemple, le contenu du presse-papiers,
demander un groupe de commandes pour collecter des informations sur les applications installées sur l'appareil, l'historique des messages, les contacts de l'annuaire téléphonique de l'appareil et sur les appareils sur lesquels le Telegram est connecté (la demande est exécutée avec un intervalle de 30 minutes),
demander un lien au serveur C2 pour télécharger la mise à jour Telegram X,
demander une configuration au serveur C2, qui est enregistrée en tant que fichier JSON,
demander des informations à partir de la base de données Redis,
uploader sur le serveur C2 des informations sur l'appareil à chaque activité réseau du messager,
obtenir une liste de bots du serveur C2, qui sont ensuite ajoutés à la liste de contacts Telegram,
toutes les 3 minutes, transmettre au serveur des informations sur les autorisations actuelles de l'application, l'état de l'appareil (si l'écran est allumé ou éteint, si l'application est active), ainsi que le numéro de téléphone mobile avec le nom et le mot de passe du compte Telegram,
demander des commandes toutes les minutes dans un format similaire aux commandes de la base de données Redis.

Pour recevoir des commandes via Redis, Android.Backdoor.Baohuo.1.origin se connecte au serveur correspondant des intrus, où il enregistre son sous-canal — les cybercriminels s'y connectent plus tard. Ils y publient des tâches, que la porte dérobée effectue ensuite. Le logiciel malveillant peut recevoir les commandes suivantes :

créer une liste noire de chats qui ne seront pas affichés pour l'utilisateur dans la fenêtre Telegram X,
masquer les appareils spécifiés de l'utilisateur dans la liste des appareils autorisés pour son compte,
bloquer pour une durée spécifiée l'affichage des notifications des chats mentionnés dans la liste noire créée,
afficher une fenêtre avec des informations sur la mise à jour de l'application Telegram X — lorsqu'un utilisateur clique dessus, il sera redirigé vers un site spécifié,
envoyer des informations sur toutes les applications installées au serveur C2,
réinitialiser la session actuelle d'authentification de l'utilisateur dans Telegram sur l'appareil infecté,
afficher une fenêtre avec des informations sur la mise à jour de l'application Telegram X, où l'utilisateur est invité à installer le fichier APK (si le fichier est manquant, le cheval de Troie le pré-télécharge),
supprimer l'icône Telegram Premium de l'interface de l'application de l'utilisateur actuel,
télécharger des informations à partir des bases de données Telegram X qui stockent l'historique des discussions, les messages et d'autres données confidentielles sur le serveur C2,
abonner l'utilisateur à un canal Telegram spécifié,
quitter un canal Telegram spécifié,
rejoindre le chat Telegram au nom de l'utilisateur en utilisant un lien spécifié,
obtenir une liste des appareils sur lesquels l'authentification dans Telegram a été effectuée,
demander de recevoir le jeton d'authentification de l'utilisateur et le transférer au serveur C2.

Il est à noter que l'interception des données du presse-papiers, lorsque l'utilisateur minimise le messager ou bien retourne à sa fenêtre, permet de mettre en œuvre divers scénarios de vol de données confidentielles. Par exemple, une victime peut copier un mot de passe ou une phrase mnémonique pour se connecter à un portefeuille cryptographique, le texte d'un document important à envoyer à des partenaires commerciaux par courrier, etc., et le cheval de Troie interceptera les données restantes dans le tampon et les transférera aux attaquants.

Dr.Web Security Space pour les appareils mobiles détecte avec succès toutes les modifications connues d'Android.Backdoor.Baohuo.1.origin, il ne représente donc aucun danger pour les utilisateurs Dr.Web.

Plus d'info sur Android.Backdoor.Baohuo.1.origin
Indicateurs de compromission

Les joueurs dans la ligne de mire : sous couvert de "tricheurs" (ou "cheats") et de mods, des cybercriminels diffusent des chevaux de Troie Windows pour voler crypto-monnaies et mots de passe

Tue, 22 Jul 2025 00:00:00 GMT

le 22 juillet 2025

Le laboratoire de Doctor Web a découvert une famille de programmes malveillants, nommé Trojan.Scavenger, utilisée par des attaquants pour dérober des données confidentielles notamment des informations provenant de portefeuilles de crypto-monnaies et de gestionnaires de mots de passe d'utilisateurs de Windows. Plusieurs chevaux de Troie de la famille sont impliqués dans l'infection d'ordinateurs, tandis que des applications légitimes sont utilisées pour les lancer, y compris des vulnérabilités de la classe DLL Search Order Hijacking.

Introduction

En 2024, Doctor Web avait enquêté sur un incident de sécurité informatique impliquant une tentative de mener une attaque ciblée contre une entreprise russe. Le schéma d'attaque comprenait l'utilisation de logiciels malveillants qui exploitaient une vulnérabilité pour intercepter l'ordre de recherche DLL (DLL Search Order Hijacking) dans un navigateur Web populaire pour infecter le système cible. Lorsque les applications Windows sont lancées, elles recherchent les bibliothèques nécessaires au fonctionnement dans différents référentiels et dans une certaine séquence. Pour « tromper » les programmes, les attaquants placent des fichiers DLL malveillants dans des répertoires où la recherche sera effectuée en premier, par exemple dans le répertoire d'installation du logiciel cible. Dans le même temps, les fichiers de chevaux de Troie reçoivent le nom de bibliothèques légitimes, situées dans des répertoires moins prioritaires pour la recherche. Par conséquent, lors du démarrage, les programmes vulnérables sont les premiers à charger des DLL malveillantes. Ils fonctionnent en tant que partie intégrante de ces programmes et reçoivent les mêmes droits.

À la suite de l'incident, nos spécialistes ont introduit des fonctionnalités dans les produits antivirus Dr.Web qui nous permettent de suivre et d'empêcher les tentatives d'exploitation des vulnérabilités pour intercepter l'ordre de recherche DLL. Lors de l'étude de la télémétrie de cette fonctionnalité, les analystes de Doctor Web ont identifié des cas de téléchargement de logiciels malveillants précédemment inconnus vers plusieurs navigateurs de nos clients à la fois. L'étude de ces cas a permis de découvrir une nouvelle campagne de piratage, qui fera l’objet de cet article.

La contamination des ordinateurs par le logiciel malveillant Trojan.Scavenger se fait en plusieurs étapes et commence par des chevaux de Troie téléchargeurs qui pénètrent dans les systèmes cibles de diverses manières. Nos experts ont identifié deux chaînes de cette campagne avec des nombres différents de composants de chevaux de Troie impliqués.

Chaîne de trois téléchargeurs

Dans cette chaîne d'infection, le composant de démarrage est Trojan.Scavenger.1, qui représente une bibliothèque dynamique (DLL). EIle peut être distribuée dans le cadre de jeux piratés, ainsi que sous le couvert de divers correctifs de jeu, tricheurs et mods via des torrents et des sites sur le thème du jeu. Ensuite, nous examinerons un exemple où des escrocs font passer un cheval de Troie pour un patch.

Trojan.Scavenger.1 est distribué dans une archive zip avec les instructions d'installation. Dans ces instructions, les attaquants encouragent une victime potentielle à mettre un « patch » dans le catalogue avec le jeu Oblivion Remastered — prétendument pour améliorer ses performances :

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

Le nom du fichier malveillant n'a pas été choisi au hasard par les attaquants : sous Windows, un fichier légitime nommé umpdc.dll se trouve dans le répertoire système %WINDIR%\System32. Il fait partie de l'API graphique, qui est utilisée par divers programmes, y compris des jeux. S'il y a une vulnérabilité non corrigée dans la version du jeu installée par la victime, le fichier de cheval de Troie copié s'exécutera automatiquement avec cette version. Il convient de noter que la version actuelle du jeu Oblivion Remastered a correctement traité la file d'attente de recherche de la bibliothèque umpdc.dll, donc dans cet exemple, Trojan.Scavenger.1 ne pouvait pas démarrer automatiquement avec elle et poursuivre la chaîne d'infection.

Après un lancement réussi, le cheval de Troie est téléchargé à partir d'un serveur distant et lance l'étape suivante - le téléchargeur Trojan.Scavenger.2 (tmp6FC15.dll). Ce dernier télécharge et installe à son tour, d'autres modules de la famille — Trojan.Scavenger.3 et Trojan.Scavenger.4.

Trojan.Scavenger.3 est une bibliothèque dynamique version.dll qui est copiée dans le répertoire de l'un des navigateurs cibles construits sur le moteur Chromium. Elle porte le même nom que l'une des bibliothèques système du répertoire %WINDIR%\System32. Les navigateurs vulnérables à l'interception de l'ordre de recherche DLL ne vérifient pas la source de la bibliothèque chargée portant ce nom. Et comme le fichier Trojan se trouve dans leur répertoire, il a la priorité sur la bibliothèque système légitime et est chargé en premier. Nos analystes ont enregistré des tentatives d'exploitation de cette vulnérabilité dans Google Chrome, Microsoft Edge, Yandex Browser et Opera.

Une fois démarré, Trojan.Scavenger.3 désactive les mécanismes de sécurité du navigateur cible — notamment, le lancement de son bac à sable — ce qui entraîne la disparition de l'isolement du code JS exécutable. De plus, le cheval de Troie désactive la vérification des extensions dans le navigateur. Pour ce faire, il détermine la bibliothèque Chromium correspondante par la présence de la fonction d'exportation CrashForExceptionInNonABICompliantCodeRange. Il recherche ensuite la procédure de validation de l'extension dans cette bibliothèque et apporte le correctif approprié.

Ensuite, le cheval de Troie modifie les extensions cibles installées dans le navigateur, recevant les modifications nécessaires sous forme de code JavaScript du serveur C2. Les éléments suivants peuvent faire l'objet de modifications :

portefeuilles cryptographiques
- Phantom
- Slush
- MetaMask
gestionnaires de mots de passe
- Bitwarden
- LastPass

Dans ce cas, ce ne sont pas les originaux qui sont modifiés, mais les copies que le cheval de Troie place préalablement dans le répertoire %TEMP%/ServiceWorkerCache. Et pour que le navigateur « récupère » les extensions modifiées, Trojan.Scavenger.3 intercepte le contrôle des fonctions CreateFileW e GetFileAttributesExW, en remplaçant les chemins locaux vers les fichiers d'origine sur le chemin des modifications (Dr.Web les détecte en tant que Trojan.Scavenger.5).

Les modifications sont représentées par deux options :

un horodatage est ajouté au cookie ;
l'envoi de données utilisateur au serveur C2 est ajouté.

À partir des portefeuilles cryptographiques Phantom, Slush et MetaMask, des clés privées et des phrases mnémoniques sont transmises aux attaquants. Un cookie de connexion leur est envoyé à partir du gestionnaire de mots de passe Bitwarden, et les mots de passe ajoutés par les victimes leur sont envoyés à partir de LastPass.

A soest copié dans le répertoire avec l'application de crypto-portefeuille Exodus. Le cheval de Troie s'exécute automatiquement avec ce programme, exploitant également la vulnérabilité DLL Search Order Hijacking (la bibliothèque système légitime profapi.dll se trouve dans le répertoire %WINDIR%\System32, mais en raison de la vulnérabilité, la priorité de téléchargement lors du démarrage du portefeuille est donnée au fichier de cheval de Troie).

Après le démarrage, Trojan.Scavenger.4 intercepte la fonction v8::String::NewFromUtf8 du moteur V8 pour fonctionner avec JavaScript et WebAssembly. Avec son aide, le malware surveille JSON généré par l'application cible et peut recevoir diverses données utilisateur. Dans le cas du programme Exodus, le cheval de Troie recherche un JSON qui contient la clé passphrase, puis lit sa valeur. En conséquence, il reçoit une phrase mnémotechnique personnalisée qui peut déchiffrer ou générer une clé privée à partir du portefeuille cryptographique de la victime. Ensuite, le cheval de Troie trouve la clé privée seed.seco du portefeuille crypto, la lit et, avec la phrase mnémonique précédemment reçue, l'envoie au serveur C2.

Chaîne de 2 téléchargeurs

Cette chaîne est généralement identique à la première, mais dans les archives distribuées avec des « patchs » et des « cheats » pour les jeux, au lieu de Trojan.Scavenger.1, on voit une version modifiée de Trojan.Scavenger.2 présentée non pas comme un fichier DLL, mais comme un fichier avec l'extension .ASI (il s'agit en fait d'une bibliothèque dynamique avec une extension modifiée).

Les archives sont également accompagnées d'instructions d'installation :

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

Une fois que l'utilisateur a copié le fichier dans le répertoire spécifié, il démarrera automatiquement au début du jeu cible, qui le percevra comme son plugin. À partir de ce moment, la chaîne d'infection reprend les étapes de la première option.

Caractéristiques de la famille

La plupart des chevaux de Troie de la famille présentent un certain nombre de caractéristiques communes. L'une d'entre elles est la procédure standard de vérification du fonctionnement de l'environnement dans un environnement virtuel ou en mode de débogage. Si les chevaux de Troie détectent des signes d'un environnement artificiel, ils s'arrêtent.

Une autre caractéristique de cette famille est un algorithme unique pour communiquer avec le serveur de contrôle. Pour communiquer avec le serveur, les chevaux de Troie passent par l'étape de création d'une clé et de vérification du chiffrement. Elle consiste à envoyer deux demandes. La première est nécessaire pour obtenir une partie de la clé, qui est utilisée pour chiffrer certains paramètres et données dans certaines requêtes. La seconde est effectuée pour vérifier la clé et contient certains paramètres, tels qu'une chaîne générée de manière aléatoire, l'heure actuelle et une valeur d'heure cryptée. Le serveur C2 y répond avec la chaîne reçue précédemment. Toutes les demandes suivantes contiennent des paramètres de temps, si ceux-ci ne sont pas disponibles, le serveur refuse d'établir la connexion.

Plus d'info sur Trojan.Scavenger.1

Plus d'info sur Trojan.Scavenger.2

Plus d'info sur Trojan.Scavenger.3

Plus d'info sur Trojan.Scavenger.4

Plus d'info sur Trojan.Scavenger.5

Conclusion

Nous avons informé les développeurs dont le logiciel exploitait les failles de sécurité identifiées, mais ils ont trouvé des vulnérabilités de type DLL Search Order Hijacking comme celles qui ne nécessitent pas de correctifs. Cependant la protection contre les attaques de ce type mise en œuvre dans les produits antivirus Dr.Web a permis de contrer l'exploitation des vulnérabilités dans les navigateurs affectés, et ce, avant même que nous n’ayons appris l'existence de la famille de logiciels malveillants Trojan.Scavenger de sorte que ces chevaux de Troie ne menaçaient pas nos utilisateurs. Dans le cadre de l'étude, la protection a également été ajoutée à l'application de portefeuille crypto Exodus.

Indicateurs de compromission

Une vague de piratage met en lumière l’utilisation de la technologie eBPF dans le montage des attaques

Tue, 10 Dec 2024 01:00:00 GMT

Le 10 décembre 2024

L'étude d'un récent cyberincident a permis aux analystes de Doctor Web d'identifier une vague de piratage en cours qui met en lumière les nouvelles « tendances » dans la construction des attaques.

Dans le cadre de l’accompagnement d’un client qui soupçonnait une attaque sur ses infrastructures, nos analystes ont identifié un certain nombre de cas de contamination similaires, ce qui a permis de conclure qu'une campagne de piratage était en cours, principalement sur la région de l'Asie du Sud-Est. Au cours des attaques, les cybercriminels utilisent toute une gamme de logiciels malveillants qui sont utilisés à différentes étapes. Malheureusement, nous n'avons pas pu déterminer sans ambiguïté comment l'accès initial aux machines compromises a été obtenu. Cependant, nous avons pu reconstituer toute l'image de l'attaque. Le plus notable est l'utilisation par les attaquants de la technologie eBPF (extended Berkeley Packet Filter).

La technologie eBPF a été développée pour étendre le contrôle sur le sous-système de réseau Linux et le fonctionnement des processus. Elle a montré beaucoup de potentiel, ce qui a attiré l'attention des grandes entreprises informatiques dès son apparition. la Fondation eBPF a vu se joindre au développement de la techno des géants tels que Google, Huawei, Intel et Netflix. Cependant, les pirates s’y sont également intéressés.

En fournissant des capacités de bas niveau étendues, eBPF peut être utilisé par les attaquants pour masquer l'activité et les processus du réseau, collecter des informations sensibles et contourner les pare-feu et les systèmes de détection d'intrusion. La complexité de détection de tels logiciels malveillants permet de les utiliser dans le cadre d'attaques APT et de masquer l'activité des pirates informatiques pendant une longue période.

Ce sont ces capacités dont les attaquants ont décidé de profiter en téléchargeant deux rootkits à la fois sur la machine compromise. Le rootkit eBPF a été installé en premier, ce qui cachait le fait qu'un autre rootkit fonctionnait, fabriqué sous la forme d'un module noyau, et qui, à son tour, préparait le système pour l'installation d'un cheval de Troie d'accès à distance. Le cheval de Troie prend en charge un certain nombre de technologies de tunneling de trafic, ce qui lui permet de communiquer avec des intrus depuis des segments privés du réseau et de masquer la transmission de commandes.

L'utilisation de logiciels eBPF malveillants prend de l'ampleur depuis 2023. En témoigne l'émergence de plusieurs familles de logiciels malveillants basés sur cette technologie, dont Boopkit, BPFDoor et Symbiote. Et la détection régulière de vulnérabilités augmente les risques. Ainsi, à ce jour, 217 vulnérabilités eBPF sont connues, dont environ 100 datées de 2024.

Une autre caractéristique inhabituelle de l’attaque est une approche plutôt créative du stockage des paramètres des chevaux de Troie. Si des serveurs dédiés sont le plus souvent utilisés pour de tels besoins, on trouve de plus en plus de cas où la configuration des logiciels malveillants est stockée dans le domaine public sur des sites publics. Ainsi, le logiciel examiné se connectait aux plateformes Github et même à des pages d'un blog chinois. Cette fonctionnalité permet de moins attirer l'attention sur le trafic de la machine compromise — car elle interagit avec un nœud sécurisé du réseau — et de ne pas avoir à maintenir un accès à un serveur de contrôle comportant les paramètres. En général, l'idée d'utiliser des services accessibles au public comme infrastructure de gestion n'est pas nouvelle, et les pirates informatiques ont déjà utilisé Dropbox, Google Drive, OneDrive et même Discord à cette fin. Le blocage régional de ces services dans un certain nombre de pays, principalement en Chine, les rend moins attrayants en termes d'accessibilité, néanmoins, la plupart des fournisseurs conservent leur accès à Github, ce qui le rend malgré tout préférable aux yeux des pirates.

Paramètres stockés sur Gitlab et le blog de sécurité. Il est curieux que dans le deuxième cas, le pirate demande de l'aide pour déchiffrer le code tiers, qui sera ensuite envoyé au cheval de Troie comme argument de l'une des commandes

Une autre caractéristique de cette campagne est l'utilisation d'un cheval de Troie au sein d'un framework de post-exploitation, c'est-à-dire un progiciel utilisé à d'autres étapes de l'attaque après avoir eu accès à un ordinateur. En soi, de tels framework ne sont pas interdits — ils sont utilisés par des entreprises qui fournissent officiellement des services d'audit de sécurité. Les outils les plus populaires sont Cobalt Strike et Metasploit, qui permettent d'automatiser un grand nombre de contrôles et qui ont une base de données de vulnérabilités intégrée.

Un exemple de carte de réseau construite par Cobalt Strike (source : site Web du développeur)

Bien sûr, de telles fonctionnalités sont très appréciées par les pirates. En 2022, une version piratée du logiciel Cobalt Strike a été diffusée, entraînant une augmentation de son utilisation dans des attaques. Une grande partie de l'infrastructure de Cobalt Strike est située en Chine. Il convient de noter que le fabricant fait des efforts pour suivre les installations du framework, et les serveurs avec des versions piratées sont régulièrement bloqués par les organismes d'application de la loi. Par conséquent, il existe actuellement une tendance constante à la transition vers l'utilisation de frameworks open source qui prennent initialement en charge la possibilité d'étendre et de modifier l'activité du réseau entre le périphérique infecté et le serveur de gestion. Une telle stratégie est préférable, car elle permet de ne pas attirer davantage l'attention sur l'infrastructure des pirates.

Selon les résultats de l'enquête, toutes les menaces identifiées ont été ajoutées à nos bases de données de logiciels malveillants, de plus, des signes de programmes eBPF malveillants ont été ajoutés aux algorithmes heuristiques.

Plus d'info sur Trojan.Siggen28.58279

Indicateurs de compromission

Applications malveillantes sur Google Play : comment les attaquants utilisent le protocole DNS pour lier secrètement les chevaux de Troie aux serveurs de contrôle

Mon, 11 Nov 2024 02:00:00 GMT

le 11 novembre 2024

La tâche de nombreux chevaux de Troie de la famille Android.FakeApp est de suivre des liens vers divers sites, et d'un point de vue technique, ces programmes malveillants sont assez primitifs. Au démarrage, ils reçoivent une commande pour ouvrir l'adresse Web indiquée, à la suite de quoi les utilisateurs qui les ont installés, au lieu du programme ou du jeu attendu, voient le contenu du site indésirable sur les écrans de leurs appareils. Cependant, certains « exemplaires » de ces malwares sont plus spécifiques, par exemple, Android.FakeApp.1669. Il diffère de la plupart des menaces similaires en ce qu'il utilise une bibliothèque dnsjava modifiée, à l'aide de laquelle il reçoit sa configuration d'un serveur DNS malveillant contenant un lien cible. Une telle configuration ne lui parvient que lorsqu'il se connecte à Internet via certains canaux — par exemple, l'Internet mobile. Dans d'autres cas, le cheval de Troie ne se manifeste pas.

Android.FakeApp.1669 est représenté par un grand nombre de variantes distribuées sous le couvert de certaines applications, y compris via le catalogue Google Play. Ainsi, les variantes actuellement connues du cheval de Troie ont été téléchargées à partir de la boutique en ligne officielle d'Android au moins 2 150 000 fois.

Exemples de programmes dans lesquels Android.FakeApp.1669 a été caché

Vous trouverez ci-dessous les variantes d’Android.FakeApp.1669, que les analystes de Doctor Web ont identifiées dans Google Play. Nos spécialistes ont trouvé d'autres chevaux de Troie, qui ne sont plus présents sur la boutique au moment de la publication.

Nom de l’application	Nombre de téléchargements
Split it: Checks and Tips	1 000 000+
FlashPage parser	500 000+
BeYummy - your cookbook	100 000+
Memogen	100 000+
Display Moving Message	100 000+
WordCount	100 000+
Goal Achievement Planner	100 000+
DualText Compare	100 000+
Travel Memo	Plus de 100 000 (supprimé)
DessertDreams Recipes	50 000+
Score Time	10 000+

Au lancement, Android.FakeApp.1669 effectue une requête DNS sur le serveur de gestion pour récupérer l'enregistrement TXT associé au nom de domaine cible. À son tour, le serveur ne donne cet enregistrement au cheval de Troie que si l'appareil infecté est connecté au réseau par l'intermédiaire de fournisseurs cibles, y compris des fournisseurs d'Internet mobile. Ces enregistrements TXT contiennent généralement des informations de domaine et d'autres informations techniques, mais dans le cas d’Android.FakeApp.1669, il contient une configuration codée pour les logiciels malveillants.

Pour envoyer des requêtes DNS, Android.FakeApp.1669 utilise du code modifié de la bibliothèque open source dnsjava.

Toutes les modifications du cheval de Troie sont liées à des noms de domaine spécifiques, ce qui permet au serveur DNS de transférer sa configuration à chacun d'eux. De plus, les noms de sous-domaines des domaines cibles sont uniques pour chaque périphérique infecté. Ils contiennent des données sur l'appareil :

modèle et marque de l'appareil,
dimensions de l'écran,
identifiant (composé de deux nombres : le premier est le temps d'installation de l'application Trojan, le second est un nombre aléatoire),
si la batterie est chargée et quel est le pourcentage actuel de sa charge,
si les paramètres du développeur sont activés.

Par exemple, la variante Android.FakeApp.1669, qui est masquée dans l'application Goal Achèvement Planner, lorsqu'elle est analysée, a demandé au serveur un enregistrement TXT pour le domaine 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com., une variante du programme Split it : Checks and Tips — l'enregistrement pour le domaine 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital., la variante de DessertDreams Recipes — pour le domaine 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com..

Exemple d'un enregistrement TXT du domaine cible que le serveur DNS a donné lorsqu'il a été interrogé via l'utilitaire Linux Dig lors de l'analyse d'une des modifications d’Android.FakeApp.1669

Pour déchiffrer le contenu de ces enregistrements TXT, il faut suivre les étapes ci-dessous :

inverser la ligne,
décoder Base64,
décompresser gzip,
diviser en lignes par le symbole ÷.

En conséquence, les données suivantes seront obtenues (l'exemple ci-dessous se réfère à l'enregistrement TXT pour l'application Goal Achievement Planner) :

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

Ces données contiennent un lien que le cheval de Troie charge dans WebView dans sa fenêtre par-dessus l'interface principale. Ce lien mène à un site qui gère une longue chaîne de redirections, à la fin de laquelle se trouve un site de casino en ligne. En conséquence, Android.FakeApp.1669 se transforme en fait en une application web qui montre le contenu du site téléchargé, plutôt que la fonctionnalité indiquée sur la page de l'application dans Google Play.

Le malware, au lieu de la fonctionnalité attendue, affiche le contenu d'un site de casino en ligne téléchargé

Dans le même temps, lorsqu'une connexion Internet est disponible mais n’est pas fournie par les fournisseurs cibles, ainsi qu'en mode hors ligne, le Trojan fonctionne comme le programme promis.

Le cheval de Troie n'a pas reçu la configuration du serveur de contrôle et a démarré comme un programme régulier.

Dr.Web Security Space pour les appareils mobiles détecte toutes les modifications connues d'Android.FakeApp.1669, il ne représente donc aucun danger pour les utilisateurs Dr.Web.

Indicateurs de compromission

Plus d'info sur Android.FakeApp.1669

Plus de 28 000 utilisateurs affectés par un cheval de Troie conçu pour le minage et le vol de cryptomonnaie.

Tue, 08 Oct 2024 00:00:00 GMT

le 8 octobre 2024

Les analystes de Doctor Web ont identifié une campagne à grande échelle de diffusion de logiciels malveillants pour le minage et le vol de cryptomonnaie, déguisés en logiciels de bureautique, en « tricheurs » (cheats) pour les jeux et en robots d'échange en ligne.

Au cours d'une analyse de routine de la télémétrie cloud reçue de nos utilisateurs, des spécialistes du laboratoire Doctor Web ont détecté l’activité suspecte d'un programme déguisé en composant Windows (StartMenuExperienceHost.exe, un processus légitime portant ce nom et responsable de la gestion du menu Démarrer). Ce programme communiquait avec le nœud de réseau distant et attendait une connexion externe afin de lancer immédiatement l'interpréteur de ligne de commande span class="string">cmd.exe.

Déguisé en composant système, l'utilitaire réseau Ncat est utilisé à des fins légitimes pour transférer des données sur le réseau via la ligne de commande. C'est cette découverte qui a permis de restaurer la séquence des événements de sécurité, parmi lesquels des tentatives d'infection des ordinateurs par des logiciels malveillants empêchés par l'antivirus Dr.Web.

La source d'infection sont les sites frauduleux que les attaquants créent sur la plateforme GitHub (nous notons qu'une telle activité est interdite par les règles de la plateforme), et le lancement de programmes téléchargés à partir de cette plateforme. Alternativement, des liens vers des logiciels malveillants peuvent être ancrés dans les descriptions au-dessous de la vidéo sur Youtube. Lorsque vous cliquez sur le lien, une archive cryptée auto-extractible protégée par un mot de passe est téléchargée, ce qui l'empêche d'être automatiquement scannée par un logiciel antivirus. Après avoir entré le mot de passe indiqué par les pirates sur la page de téléchargement, l'ensemble de fichiers temporaires suivant est déballé sur l'ordinateur de la victime dans le dossier %ALLUSERSPROFILE%\jedist :

UnRar.exe — décompresseur d'archives RAR ;
WaR.rar — archive RAR ;
Iun.bat, script qui crée une tâche pour exécuter le script Uun.bat, lance un redémarrage de l'ordinateur et se supprime lui-même ;
Uun.bat, script obscurci qui décompresse le fichier WaR.rar, lance les fichiers qu'il contient ShellExt.dll et UTShellExt.dll, puis supprime la tâche créée par Iun.bat et le dossier jedist ainsi que son contenu.

Le fichier ShellExt.dll est un interpréteur du langage AutoIt et n'est pas malveillant en soi. Cependant, ce n'est pas son vrai nom. Les attaquants ont renommé le fichier source nommé AutoIt3.exe en ShellExt.dll pour se faire passer pour la bibliothèque de programmes WinRAR, responsable de l'intégration des fonctions d'archivage dans le menu contextuel de Windows. Après son démarrage, l'interpréteur charge à son tour le fichier UTShellExt.dll, qui a été " emprunté " par des pirates à l'utilitaire Uninstall Tool. Ils ont « attaché » un script AutoIt malveillant à cette bibliothèque, signé avec une signature numérique valide. Une fois qu'il est terminé, la charge utile est déballée, dont tous les fichiers sont très obscurcis.

AutoIt est un langage de programmation pour créer des scripts d'automatisation et des utilitaires pour Windows. Sa facilité d'utilisation et ses nombreuses fonctionnalités l'ont rendu populaire auprès de différentes catégories d'utilisateurs, y compris les auteurs de virus. Certains programmes antivirus détectent tout script AutoIt compilé comme malveillant.

Le fichier UTShellExt.dll effectue les actions suivantes :

Recherche l'exécution d'un logiciel de débogage dans la liste des processus. Le script contient les noms d'environ 50 utilitaires différents utilisés pour le débogage, et si au moins un processus de cette liste est détecté, le script cesse de fonctionner.
Si aucun logiciel de débogage n'est trouvé, les fichiers nécessaires pour poursuivre l'attaque sont décompressés dans le système compromis. Certains fichiers sont « propres », ils sont nécessaires à la mise en œuvre de l'interaction réseau, et les autres effectuent des actions malveillantes.
Crée des événements système pour fournir un accès réseau avec Ncat et télécharger des fichiers BAT et DLL, il apporte également des modifications au registre pour mettre en œuvre l'interception du lancement de l'application à l'aide des techniques IFEO.
IFEO (Image File Execution Options) sont des fonctionnalités fournies par Windows pour les développeurs de logiciels, telles que l'exécution automatique d'un débogueur au démarrage d'une application. Cependant, les pirates peuvent utiliser les techniques IFEO pour s'ancrer dans le système. Pour ce faire, ils modifient le chemin d'accès au débogueur, en spécifiant plutôt le chemin d'accès au fichier malveillant, de sorte que chaque fois qu'une application légitime est lancée, des applications malveillantes seront également lancées. Dans le cas en question, les pirates « s'accrochaient » aux services système Windows, ainsi qu'aux processus de mise à jour des navigateurs Google Chrome et Microsoft Edge ( MoUsoCoreWorker.exe, svchost.exe, TrustedInstaller.exe, GoogleUpdate.exe et MicrosoftEdgeUpdate.exe).
Empêche l'accès à la suppression, à l'enregistrement et à la modification des dossiers et des fichiers créés à l'étape 2
Désactive le service de récupération Windows
Envoie des informations sur les caractéristiques techniques de l'ordinateur infecté, son nom, la version du système d'exploitation et des informations sur le logiciel antivirus installé aux attaquants via Telegram.

Les fonctions de minage caché et de vol de cryptomonnaie sont effectuées par les fichiers DeviceId.dll et 7zxa.dll. Les deux fichiers sont intégrés dans le processus explorer.exe (Explorateur Windows) à l'aide de la technique Process Hollowing. Le premier fichier est une bibliothèque légitime distribuée dans le cadre d'un environnement de développement .NET qui a été intégré avec un script AutoIt malveillant qui exécute un mineur SilentCryptoMiner. Ce mineur dispose de capacités étendues pour configurer et masquer le processus d'extraction de cryptomonnaie, ainsi que d'une fonction de contrôle à distance.

La bibliothèque 7zxa.dll déguisée en composant de l'archiveur 7-Zip, est ce qu'on appelle le clipper. Ce type de logiciel malveillant est utilisé pour surveiller les données dans le presse-papiers, qu'il peut remplacer ou transmettre aux attaquants. Dans ce cas, le clipper surveille l'apparition dans le presse-papiers de séquences typiques de symboles caractéristiques des adresses de portefeuille et les remplace par celles qui ont été indiquées par les intrus. Au moment de la publication, on sait de manière fiable que ce n'est qu'en utilisant ce clipper que les pirates ont pu s'enrichir de plus de 6 000 $.

La technique Process Hollowing consiste à exécuter un processus de confiance dans un état suspendu, à remplacer son code en mémoire par un code malveillant, puis à reprendre le processus. L'utilisation d'une telle technique conduit à l'apparition de copies du processus du même nom, donc dans notre cas, trois processus explorer.exe ont été observés sur les ordinateurs des victimes, ce qui est suspect en soi, puisque ce processus existe normalement en une seule copie.

Au total, plus de 28 000 personnes ont été touchées par ces malwares, dont la grande majorité sont des résidents de Russie. De plus, un nombre important d'infections sont observées en Biélorussie, en Ouzbékistan, au Kazakhstan, en Ukraine, au Kirghizistan et en Turquie. Étant donné que les ordinateurs des victimes ont été compromis lors de l'installation de versions piratées de programmes populaires, les principales recommandations pour prévenir de tels incidents sont le téléchargement de logiciels à partir de sources officielles, l'utilisation de logiciels open source et l'utilisation de logiciels antivirus. Les utilisateurs des produits antivirus Dr.Web sont protégés de manière fiable contre cette menace.

En savoir plus sur Trojan.AutoIt.1443

Indicateurs de compromission

Un appât pour les attaquants : un serveur contenant une version vulnérable de la base de données Redis a permis de révéler une nouvelle modification de rootkit conçu pour dissimuler le processus de minage de crypto-monnaies.

Thu, 03 Oct 2024 00:00:00 GMT

le 3 octobre 2024

Les analystes de Doctor Web ont identifié une nouvelle modification du rootkit qui installe le cheval de Troie Skidmap sur les machines Linux compromises. Ce rootkit est conçu sous la forme d'un module malveillant du noyau qui masque l'activité du mineur en remplaçant les informations sur la charge CPU et l'activité réseau. Cette attaque est massive et vise principalement le secteur des entreprises — grands serveurs et environnements cloud, car c'est avec de telles ressources que l'efficacité de l'exploitation minière sera maximale.

Le système de gestion de base de données Redis est l'un des plus populaires au monde : les serveurs Redis sont utilisés par de grandes entreprises telles que X (anciennement Twitter), AirBnB, Amazon, etc. Les avantages du système sont évidents : performances maximales, exigences minimales en matière de ressources, prise en charge de divers types de données et de langages de programmation. Cependant, ce produit présente des inconvénients : puisque l'utilisation de Redis n’implique pas son installation sur la périphérie du réseau, seules les fonctionnalités de sécurité de base sont prises en charge dans la configuration par défaut, et dans les versions jusqu'à 6.0, il n'y a pas de mécanismes de contrôle d'accès et de cryptage. De plus, chaque année, il y a des rapports dans les médias spécialisés sur des vulnérabilités trouvées dans Redis. Par exemple, en 2023, 12 ont été enregistrées, dont trois avaient le statut de « sérieuse ». Les rapports fréquents de serveurs compromis suivis de l'installation de logiciels de minage ont attiré l'intérêt des experts du laboratoire Doctor Web, qui souhaitaient observer directement une telle attaque. Pour ce faire, il a été décidé de lancer notre propre serveur Redis avec la protection désactivée et d'attendre les invités non invités. Au cours de l'année, il y a eu de 10 à 14 000 attaques sur le serveur chaque mois, et récemment, la présence de logiciels malveillants Skidmap a été détectée, ce que nos analystes attendaient. Cependant, il était inattendu que dans ce cas, les cybercriminels utilisent une nouvelle méthode pour dissimuler l'activité du mineur et installent en même temps quatre portes dérobées à la fois.

Les premiers messages concernant l'apparition du Trojan Skidmap sont apparus en 2019. Ce Trojan mineur a une certaine spécialisation et se trouve principalement dans les réseaux d'entreprise, car c'est dans le segment des entreprises qu'il est possible de tirer un maximum de l'exploitation minière secrète. Malgré le fait que cinq ans se soient écoulés depuis l'apparition du cheval de Troie, le principe de son fonctionnement reste inchangé : il est installé dans le système par l'exploitation de vulnérabilités ou de paramètres logiciels incorrects. Dans le cas de notre serveur de leurre, les pirates ont ajouté des tâches au planificateur système cron, dans lequel un script était lancé toutes les 10 minutes qui téléchargeait le compte-gouttes Linux.MulDrop.142 (ou une autre modification de celui-ci — Linux.MulDrop.143). Cet exécutable vérifie la version du noyau du système d'exploitation, désactive le module de sécurité SELinux, puis déballe dans l'OS les fichiers du rootkit Linux.Rootkit.400, du mineur Linux.BtcMine.815, ainsi que les fichiers des portes dérobées Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 et les fichiers du Trojan Linux.BackDoor.RCTL.2 pour l'accès distant. Une caractéristique distinctive du compte-gouttes est qu'il est assez volumineux, car il contient des fichiers exécutables pour diverses distributions Linux. Dans ce cas, environ 60 fichiers ont été insérés dans le corps du compte-gouttes pour différentes versions des distributions Debian et Red Hat Enterprise Linux, qui sont le plus souvent installées sur des serveurs.

Après l'installation, le rootkit intercepte un certain nombre d'appels système, ce qui lui permet d'émettre de fausses informations en réponse à des commandes de diagnostic entrées par l'administrateur. Parmi les fonctions interceptées, il y a celles qui rapportent la valeur moyenne de l'utilisation du processeur, l'activité réseau sur un certain nombre de ports et affichent une liste de fichiers dans des dossiers. Le rootkit vérifie également tous les modules du noyau chargeables et empêche le lancement de ceux qui peuvent détecter sa présence. Tout cela permet de dissimuler complètement tous les aspects de l’activité d'extraction de crypto-monnaies d'un mineur : calculs, envoi de hachages et réception de tâches.

Le but des portes dérobées installées par le dropper dans le cadre de cette attaque est de sauvegarder et d'envoyer des données sur toutes les autorisations SSH aux attaquants, ainsi que de créer un mot de passe principal pour tous les comptes du système. Il est à noter que tous les mots de passe envoyés sont en plus cryptés avec un chiffre César avec un décalage de 4 lettres.

Pour étendre la possibilité de contrôler un système compromis, les attaquants installent le cheval de Troie RAT Linux.BackDoor.RCTL.2. Ce Trojan permet d'envoyer des commandes à un serveur compromis et de recevoir toutes les données de celui-ci via une connexion cryptée que le cheval de Troie initie lui-même.

Le programme xmrig est installé en tant que mineur, il permet d'extraire un certain nombre de crypto-monnaies, dont la plus connue est Monero, qui a gagné en popularité sur le darknet en raison de son anonymat complet au niveau des transactions. Il convient de dire que la détection d'un mineur couvert par un rootkit dans un cluster de serveurs est une tâche plutôt ardue. En l'absence de données fiables sur la consommation des ressources, la seule chose qui peut conduire à l'idée de compromis est la consommation excessive d'énergie et l'augmentation de la production de chaleur. Les pirates peuvent également modifier les paramètres du mineur de manière à assurer un équilibre optimal entre les performances minières et le maintien des performances de l'équipement, ce qui attirera moins l'attention sur le système compromis.

L'évolution de la famille de logiciels malveillants Skidmap se manifeste par la complexité du schéma d'attaque : les programmes lancés se font des appels, désactivent les systèmes de protection, interfèrent avec le fonctionnement d'un grand nombre d'utilitaires et de services système, téléchargent des rootkits, etc., ce qui complique grandement la réponse à de tels incidents.

Les menaces mentionnées sont répertoriées dans la base de données virales Dr.Web et ne représentent pas de danger pour les utilisateurs de nos produits antivirus.

Indicateurs de compromission

Plus d'info sur Linux.MulDrop.142

Plus d'info sur Linux.MulDrop.143

Plus d'info sur Linux.MulDrop.144

Plus d'info sur Linux.Rootkit.400

Doctor Web a repris les mises à jour des bases virales après l’attaque sur ses infrastructures

Wed, 18 Sep 2024 15:39:58 GMT

Le 18 septembre 2024

Maintenant que la situation critique induite par l’attaque dont ont été victime les infrastructures de Doctor Web est passée, nous pouvons revenir sur le déroulé de cette attaque ciblée.

Celle-ci a démarré samedi 14 septembre 2024. Nos équipes l’ont très rapidement repérée et contrée.

Le 16 septembre, les équipes ont détecté des signes d’interférence non autorisée avec notre infrastructure IT. Appliquant les politiques de sécurité internes, nous avons déconnecté tous nos serveurs du réseau et démarré une série de diagnostics de sécurité approfondis, notamment grâce à notre outil Dr.Web FixIt! pour Linux.

C’est ce qui nous a permis d’isoler rapidement la menace et de garantir qu’aucune fuite de données n’était à déplorer.

Le 16 septembre 2024, 6h30.

En accord avec les politiques de sécurité internes, nous avons temporairement déconnecté certains nœuds de l’infrastructure Doctor Web pour effectuer certaines vérifications. Ceci a entraîné une interruption temporaire des mises à jour des bases virales.

Le 17 septembre, 13h30

Les mises à jour de la base de données virale ont repris dans leur intégralité.

Nous répondons aux plus hauts standards de sécurité et mettons toujours tout en œuvre pour que nos services soient en permanence opérationnels.

Le vide s'est emparé de plus d'un million de décodeurs TV sous Android

Thu, 12 Sep 2024 16:23:14 GMT

Le 12 septembre 2024

Les experts de Doctor Web ont identifié un nouveau cas d'infection de décodeurs TV basés sur Android. Le programme malveillant, baptisé Android.Vo1d, a infecté près de 1 300 000 appareils dans 197 pays. Il s'agit d'une porte dérobée qui place ses composants dans la zone système et qui, sur commande des pirates, est capable de télécharger et d'installer secrètement des logiciels tiers.

En août 2024, Doctor Web a été contacté par plusieurs utilisateurs sur les appareils desquels Dr.Web a enregistré des modifications dans la zone de fichier système. Les modèles suivants étaient concernés :

Modèle de décodeur TV	Version du micrologiciel déclarée
R4	Android 7.1.2; R4 Build/NHG47K
TV BOX	Android 12.1; TV BOX Build/NHG47K
KJ-SMART4KVIP	Android 10.1; KJ-SMART4KVIP Build/NHG47K

Dans tous les cas, les signes d'infection étaient similaires, ils seront donc décrits sur l'exemple de l'un des premiers appels. Les objets suivants ont été modifiés sur le décodeur concerné :

install-recovery.sh
daemonsu

De plus, 4 nouveaux fichiers sont apparus dans son système de fichiers :

/system/xbin/vo1d
/system/xbin/wd
/system/bin/debuggerd
/system/bin/debuggerd_real

Les fichiers vo1d et wd sont des composants du cheval de Troie Android.Vo1d que nous avons détecté.

Les auteurs du cheval de Troie ont probablement essayé de déguiser l'un de ses composants en programme /system/bin/vold, l'appelant par le nom similaire « vo1d ». Le logiciel malveillant a été nommé d'après ce fichier. En même temps, une telle orthographe se marie avec le mot « void » (en traduction de l'anglais — vide).

Le fichier install-recovery.sh est un script présent sur la plupart des appareils Android. Il se lance au démarrage du système d'exploitation et contient des données pour l'exécution automatique des éléments qui y sont spécifiés. Si un programme malveillant a un accès root et une possibilité d'écrire dans le répertoire système/system , il peut prendre pied sur le périphérique infecté en s'ajoutant à ce script (ou en le créant en cas d'absence dans le système). Android.Vo1d y a enregistré l'auto-démarrage du composant wd.

Le fichier modifié install-recovery.sh

Le fichier daemonsu est présent sur de nombreux appareils Android avec accès root. Il est lancé par le système au moment du démarrage et est chargé de fournir des privilèges root à l'utilisateur. Android.Vo1d s'est enregistré dans ce fichier, en configurant également l'auto-démarrage du module wd.

Le fichier debuggerd est un daemon qui est généralement utilisé pour générer des rapports d'erreur. Mais lorsque le décodeur a été infecté, ce fichier a été remplacé par un script qui exécute le composant wd.

Dans ce cas, le fichier debuggerd_real est une copie du script par lequel le fichier d'origine debuggerd a été remplacé. Les experts de Doctor Web estiment que le fichier d'origine debuggerd aurait dû être déplacé vers debuggerd_real pour maintenir son opérabilité. Cependant, en raison du fait que l'infection s'est probablement produite deux fois, le cheval de Troie a déplacé le fichier déjà substitué (c'est-à-dire le script). En conséquence, il y avait deux scripts de cheval de Troie sur l'appareil et aucun fichier réel de programme debuggerd.

Dans le même temps, les autres utilisateurs qui nous ont contactés avaient sur des appareils infectés une liste de fichiers légèrement différente :

daemonsu (analogue du fichier vo1d — Android.Vo1d.1);
wd (Android.Vo1d.3) ;
debuggerd (similaire au script décrit ci-dessus) ;
debuggerd_real (le fichier d'origine de l'utilitaire debuggerd ) ;
install-recovery.sh (un script qui charge les objets qui y sont spécifiés).

L'examen de tous ces fichiers a révélé que ses créateurs ont utilisé au moins trois méthodes différentes pour ancrer Android.Vo1d dans le système : modification des fichiers install-recovery.sh et daemonsu , ainsi que re remplacement du programme debuggerd . Ils s'attendaient probablement à ce qu'au moins un des fichiers cibles soit présent dans le système infecté, car la manipulation d'un seul d'entre eux pouvait assurer l'exécution automatique réussie du cheval de Troie lors des redémarrages ultérieurs de l'appareil.

La fonctionnalité principale de Android.Vo1d est cachée dans ses composants vo1d (Android.Vo1d.1) et wd (Android.Vo1d.3), qui fonctionnent conjointement. Le module Android.Vo1d.1 est responsable du démarrage d'Android.Vo1d.3 et il contôle son activité, si nécessaire, il redémarre le processus. Egalement, sur commande du serveur de contrôle, il peut télécharger et exécuter des fichiers exécutables. A son tour, le module Android.Vo1d.3 installe sur le periphérique et lance le daemon qui est chiffré dans son corps (Android.Vo1d.5), ce dernier est également en mesure de télécharger et de lancer des fichiers exécutables. De plus, il surveille l'apparence des fichiers APK des applications dans les répertoires indiqués et en installe.

Une étude menée par des analystes de Doctor Web a montré que la porte dérobée Android.Vo1d avait infecté environ 1 300 000 appareils et que sa géographie couvrait près de 200 pays. La plupart des infections ont été détectées au Brésil, au Maroc, au Pakistan, en Arabie saoudite, en Russie, en Argentine, en Équateur, en Tunisie, en Malaisie, en Algérie et en Indonésie.

Pays avec le plus grand nombre de periphériques infectés détectés

Une des raisons pouvant expliquer que les attaquants aient choisi de cibler les décodeurs TV est que ces appareils fonctionnent souvent sur la base de versions obsolètes d'Android, dans lesquelles les vulnérabilités ne sont pas corrigées et pour lesquelles les mises à jour ne sont plus disponibles. Par exemple, les modèles des utilisateurs qui nous ont contactés fonctionnent sous Android 7.1, malgré le fait que pour certains d'entre eux des versions beaucoup plus récentes sont indiquées dans la configuration — Android 10 et Android 12. Malheureusement, il s'agit d'une pratique courante lorsque les fabricants d'appareils bon marché utilisent des versions plus anciennes du système d'exploitation et les font passer pour plus pertinentes afin d'accroître leur attractivité.

De plus, les utilisateurs eux-mêmes peuvent percevoir à tort les décodeurs TV comme des appareils plus protégés que les smartphones. Pour cette raison, ils sont moins susceptibles d'installer un antivirus pour les protéger et courent le risque de rencontrer des logiciels malveillants lors du téléchargement d'applications tierces ou de l'installation de micrologiciels non officiels.

Pour le moment, la source d'infection des décodeurs par la porte dérobée reste inconnue. Une attaque de malware intermédiaire qui exploite les vulnérabilités du système d'exploitation pour obtenir des privilèges root peut être considérée comme l'un des vecteurs possibles. Un autre peut être l'utilisation de versions non officielles de firmware avec accès root.

Dr.Web Security Space pour les appareils mobiles détecte avec succès toutes les variantes connues du cheval de Troie Android.Vo1d et, s'il existe un accès root, traite les gadgets infectés.

Indicateurs de compromission

Plus d'info sur Android.Vo1d.1

Plus d'info sur Android.Vo1d.3

Plus d'info sur Android.Vo1d.5

Alerte : un Trojan contrôlé via le messenger Telegram attaque l'OS Linux

Thu, 04 Jul 2024 00:00:00 GMT

le 4 juillet 2024

Les experts de Doctor Web ont identifié une version Linux du cheval de Troie connu TgRat, qui est utilisé pour mener des attaques ciblées. L'une des caractéristiques spécifiques de ce cheval de Troie est le fait qu'il est contrôlé par un bot Telegram.

Ce logiciel malveillant appartient à la catégorie des Trojans dits RAT (Remote Access Trojan). Les RAT se présentent comme les outils d'accès et d'administration à distance auxquels nous sommes habitués mais ils sont utilisés à des fins de piratage et doivent agir sans que l'utilisateur attaqué ne soupçonne que quelqu'un d'autre contrôle sa machine.

Initialement, le cheval de Troie TgRat, écrit pour Windows, a été détecté en 2022. Il s'agissait d'un petit programme malveillant conçu pour télécharger des données à partir d'une machine compromise. Les analystes de Doctor Web ont découvert une autre version, adaptée pour fonctionner dans le système d'exploitation Linux.

Une société d’hébergement a adressé une demande d'enquête sur un incident de sécurité à notre Lab. Dr.Web Antivirus a détecté un fichier suspect sur le serveur de l'un des clients. Il s'est avéré être un dropper du Trojan, c'est-à-dire un programme conçu pour installer des logiciels malveillants sur l'ordinateur attaqué. Ce dropper désempaquetait le cheval de Troie Linux.BackDoor.TgRat.2 dans le système.

Ce cheval de Troie a également été créé pour attaquer des ordinateurs spécifiques : à son lancement, il compare le hachage du nom de la machine avec une chaîne intégrée dans le corps du cheval de Troie. Si les valeurs ne correspondent pas, TgRat termine son processus. En cas de lancement réussi, le cheval de Troie se connecte au réseau et met en œuvre un schéma d'interaction plutôt inhabituel avec son serveur de contrôle, qui s’avère être un bot Telegram.

Le Telegram messenger est assez souvent utilisé dans les entreprises comme moyen de communication. Par conséquent, il n'est pas surprenant que les attaquants souhaitent l'exploiter comme un canal pour diffuser des logiciels malveillants et voler des informations confidentielles : la popularité du programme et le trafic régulier vers les serveurs de Telegram facilitent la dissimulation d’un malware sur un réseau compromis.

Le cheval de Troie est géré par un groupe fermé sur Telegram, auquel le bot est connecté. À l'aide du messenger, les attaquants peuvent envoyer des commandes au Trojan : par exemple, télécharger des fichiers à partir d'un système compromis, prendre une capture d'écran, exécuter une commande à distance ou télécharger un fichier à l'aide de pièces jointes.

Contrairement à son homologue ciblant Windows, le code de ce cheval de Troie a été crypté avec un chiffrement RSA, et l'interpréteur bash a été utilisé pour exécuter des commandes, ce qui permet d'exécuter des scripts entiers dans le cadre d'un seul message. Chaque instance du cheval de Troie a son propre identifiant, de sorte que les attaquants peuvent envoyer des commandes à plusieurs bots, en les connectant tous à un chat.

Cette attaque, malgré son caractère inhabituel en termes de choix de schéma d'interaction entre le cheval de Troie et le serveur de contrôle, peut être détectée par une analyse minutieuse du trafic réseau : l'échange de données avec des serveurs Telegram peut être tout-à-fait habituel pour des ordinateurs d’utilisateurs, mais pas pour un serveur de réseau local.

Pour prévenir l'infection, nous vous recommandons d'installer un logiciel antivirus sur tous les objets du réseau local. Les solutions antivirus de la gamme Dr.Web Enterprise Security Suite pour les serveurs et les postes de travail basés sur Windows, macOS, Android, Linux et FreeBSD protègent de manière fiable nos clients. Et pour les périphériques NGFW et IDS sur le périmètre du réseau, Doctor Web propose une solution basée sur la technologie de scan du trafic en continu, qui permet d'analyser le trafic réseau avec une latence pratiquement nulle.

Indicateurs de compromission

Un mineur caché dans un logiciel piraté permet aux attaquants de s'enrichir au détriment de leurs victimes

Mon, 15 Jan 2024 00:00:00 GMT

Le 15 janvier 2023

Doctor Web signale des cas plus fréquents de détection de Trojans miners pour l'extraction cachée de crypto-monnaies au sein de logiciels piratés disponibles dans Telegram et sur certains sites Internet.

En décembre 2023, les analystes du Laboratoire Doctor Web ont constaté une augmentation du nombre de détections du Trojan miner Trojan.BtcMine.3767 et de Trojan.BtcMine.2742, associé au premier cheval de Troie. Ces malwares ont pénétré dans des ordinateurs avec des distributions piratées de différents logiciels.

Trojan.BtcMine.3767 est un cheval de Troie écrit en C++ et ciblant l'OS Windows. Il s'agit d'un chargeur de miner basé sur le projet open source SilentCryptoMiner. Les principales sources de logiciels infectés par ce Trojan sont le canal Telegram t[.]me/files_f (plus de 5 000 abonnés), ainsi que les sites web itmen [.]software et soft[.]sibnet [.]ru. Il est à noter que des assemblages séparés ont été préparés pour ce dernier site à l'aide de l'installateur NSIS. Dans le même temps, après avoir déballé le paquet d'installation, les chemins utilisés par les attaquants pour stocker les fichiers sources du cheval de Troie ont été découverts :

C:\bot_sibnet\Resources\softportal\exe\
C:\bot_sibnet\Resources\protect_build\miner\

Selon le Laboratoire Doctor Web, en un mois et demi, l'une des campagnes de propagation de ce cheval de Troie a causé la contamination de plus de 40 000 ordinateurs. Cependant, compte tenu des statistiques de vues des publications sur le canal Telegram et du trafic du site, l'ampleur du problème peut être encore plus importante.

Après le démarrage, le chargeur se copie dans le répertoire %ProgramFiles%\google\ chrome\ sous le nom updater.exe et crée une tâche de planification pour assurer un auto-démarrage au démarrage du système d'exploitation. A des fins de masquage, la tâche est nommée GoogleUpdateTaskMachineQC. Le chargeur enregistre son fichier dans les exclusions de l'antivirus Windows Defender, et empêche également l'ordinateur de s'éteindre et de passer en mode veille. Les paramètres initiaux sont enregistrés dans le corps du cheval de Troie, la transmission ultérieure des paramètres est effectuée à partir de l'hôte distant. Après l'initialisation, dans le processus explorer.exe, la charge utile qui est Trojan.BtcMine.2742 est introduite. C'est le Trojan qui est responsable de l'extraction cachée de crypto-monnaie.

De plus, le chargeur permet d'installer un rootkit sans fichier r77 sur un ordinateur compromis, d'interdire les mises à jour du système d'exploitation Windows, de bloquer l'accès aux sites, de supprimer et de restaurer automatiquement ses fichiers d'origine, de suspendre le processus d'extraction de crypto-monnaie, ainsi que de décharger la RAM et la mémoire vidéo occupées par le miner lors de l'exécution de programmes de surveillance de processus sur l'ordinateur infecté.

Dr.Web Antivirus détecte et neutralise avec succès les Trojans Trojan.BtcMine.3767 et Trojan.BtcMine.2742, qu'ils ne constituent ainsi aucune menace pour nos utilisateurs.

Indicateurs de compromission

Une vulnérabilité dans le logiciel Openfire ouvre un accès non autorisé à des serveurs compromis

Mon, 25 Sep 2023 00:00:00 GMT

Le 25 septembre 2023

Doctor Web informe les utilisateurs de la propagation de plug-ins malveillants pour le serveur de messagerie Openfire. Partout dans le monde, au moment de la publication, plus de 3 000 serveurs équipés du logiciel Openfire sont vulnérables, ce qui permet aux pirates d'accéder au système de fichiers et d'utiliser des serveurs infectés au sein d'un botnet.

En juin 2023, Doctor Web a été contacté par l'un de ses clients avec un rapport d'incident dans lequel des attaquants ont pu crypter des fichiers sur un serveur. L'enquête a révélé que l'infection a été mise en œuvre lors de la post-exploitation de la vulnérabilité CVE-2023-32315 dans le logiciel de messagerie Openfire. Cet exploit réalise une attaque par traversée de répertoire et permet d'accéder à l'interface d'administration du logiciel Openfire sans authentification, ce qui est utilisé par les attaquants pour créer un nouvel utilisateur avec des privilèges d'administration. Ensuite, les attaquants se connectent sous un nouveau compte et installent un plugin malveillant helloworld-openfire-plugin-assembly.jar (SHA1:41 d2247842151825aa8001a35dd339a0fef2813f), qui assure l'exécution de code arbitraire. Le plugin permet d'exécuter des commandes d'interpréteur de ligne de commande sur le serveur avec le logiciel Openfire installé, ainsi que d'exécuter du code écrit en Java, qui est transmis dans une requête POST au plugin. C'est ainsi que le ransomware de chiffrement a été lancé sur le serveur de notre client.

Pour obtenir un échantillon de ce rançongiciel, nous avons créé un serveur appât avec le logiciel Openfire installé et avons observé des attaques pendant plusieurs semaines. Pendant le fonctionnement de ce serveur, nous avons réussi à obtenir des échantillons de trois plug-ins malveillants différents. De plus, des représentants de deux familles de chevaux de Troie ont été installés sur notre serveur après le piratage du logiciel Openfire.

Le premier cheval de Troie était un miner écrit dans le langage Go, connu sous le nom de kinsing (Linux.BtcMine.546). L'attaque à l'aide de ce cheval de Troie est réalisée en quatre étapes :

Exploitation de la vulnérabilité CVE-2023-32315 pour créer un compte administrateur nommé OpenfireSupport.
Authentification sous l'utilisateur créé.
Installation du plugin malveillant plugin.jar (SHA1: 0c6249feee3fef50fc0a5a06299c3e81681cc838) sur le serveur.
Téléchargement et lancement du Trojan à l'aide du plugin malveillant installé.

Un autre scénario prévoit l'installation du Trojan Linux.BackDoor.Tsunami.1395 écrit en langage C et emballé par le packer UPX. Le processus d'infection est largement similaire à celui décrit ci-dessus, à la différence que le compte utilisateur administrateur est créé avec un nom et un mot de passe aléatoires.

Le troisième scénario est du plus grand intérêt, puisque les attaquants n'ont pas installé le cheval de Troie dans le système, mais ont utilisé un plugin malveillant pour Openfire, à travers lequel ils ont reçu des informations sur le serveur compromis. Notamment, des informations sur les connexions réseau, l'adresse IP, les utilisateurs et la version du noyau système.

Dans tous les cas, les plugins malveillants installés sont les portes dérobées JSP.BackDoor.8, écrites en Java. Ces plugins permettent d'exécuter un certain nombre de commandes sous la forme de requêtes GET et POST envoyées par des attaquants.

La vulnérabilité du serveur de messagerie Openfire en question a été corrigée dans les mises à jour vers les versions 4.6.8 et 4.7.5. Doctor Web recommande d'utiliser les versions mises à jour. En l'absence d'une telle possibilité, des efforts doivent être faits pour minimiser la zone d'attaque : restreindre l'accès réseau aux ports 9090 et 9091, modifier le fichier de configuration Openfire, rediriger l'adresse de la console d'administrateur vers l'interface loopback ou bien utiliser le plugin AuthFilterSanitizer.

L'antivirus Dr.Web détecte et neutralise avec succès les modifications de la porte dérobée JSP.BackDoor.8, ainsi que celles des Trojans Linux.BtcMine et Linux.BackDoor.Tsunami.

L'art de la manipulation : les escrocs volent de l'argent avec un logiciel d'administration distant d'appareils mobiles

Fri, 22 Sep 2023 01:00:00 GMT

Le 22 septembre 2023

Doctor Web alerte sur les cas fréquents de fraude utilisant des programmes d'accès à distance au bureau de l’ordinateur. Le programme le plus populaire parmi les pirates est RustDesk.

Compte tenu des récentes fuites de fragments de bases de données d'un certain nombre de banques (en Russie), les fraudeurs ont accès à des données personnelles. Ces données sont utilisées par les attaquants afin de gagner la confiance de leurs victimes. Se présentant comme des employés de la banque, les criminels signalent qu'une activité suspecte pouvant entraîner une perte d'argent a été remarquée sur le compte de la victime. Pour éviter le vol, ils demandent d'installer un programme de « protection » sur l'appareil. Les attaquants proposent de se rendre dans le store d'applications et de taper dans la barre de recherche support Sberbank, Support VTB, etc.

Source : nakopi-deneg.ru

En fait, jusqu'à récemment, des programmes tels que AweSun Remote Desktop, RustDesk Remote Desktop et AnyDesk Remote Desktop figuraient en tête des résultats de recherche sur Google Play. Cette situation est due au fait que le système de classement des applications dans Google Play prend en compte le choix des utilisateurs après une recherche. Dans le cas de cette fraude, les utilisateurs téléchargent des outils de prise de contrôle à distance pensant télécharger une appli de support d’une banque, ce qui explique que ces applis figurent en tête des résultats de recherche.

Il convient de noter que les programmes de contrôle à distance ne sont pas eux-mêmes malveillants mais que c’est bien sûr leur utilisation dans le cadre d’une fraude qui pose problème.

Une fois l'application de prise en main à distance installée, l’utilisateur pensant être entre les mains du support de sa banque, les escrocs demandent à la victime de leur fournir l’identifiant unique affiché, puis ils prennent le contrôle total de l'appareil. L'accès à l'appareil leur permet d'effectuer des manipulations sur le compte de la victime. Le problème est que la preuve du piratage dans une telle situation sera difficile, puisque du point de vue de la banque, c'est l'appareil du client qui interagit avec ses services.

Pour le moment, Google a retiré l'application RustDesk de Google Play Store. En conséquence, les attaquants utilisent maintenant des sites Web pour mettre en œuvre un système de fraude par contrôle à distance, par exemple, hххps://помощникбанков[.]рф.

Sur ces sites, les victimes potentielles sont invitées à télécharger l'application RustDesk que nous connaissons déjà. Dans certains cas, pour être plus convaincant, les noms et les icônes des applications téléchargées ont été remplacés par ceux d'une banque en particulier. La section avec les avis des « utilisateurs » (satisfaits) a également un impact psychologique supplémentaire.

Dr.Web Antivirus détecte l'application RustDesk en tant que Tool.RustDesk.1.origin, et les applications modifiées sont identifiées comme Android.FakeApp.1426. Pour plus de sécurité, le filtre d'URL bloque l'accès aux sites malveillants, empêchant ainsi les utilisateurs d'être victimes de tromperie.

Doctor Web rappelle :

Soyez vigilant lorsqu’une personne qui vous appelle se présente comme un employé de votre banque et vous demande d’installer quelque chose sur votre ordinateur. Une banque ne gère pas la sécurité de ses clients de cette manière.
N'installez jamais de logiciel sur vos appareils à la demande de quelqu’un.
Ne partagez pas les codes des SMS ou des notifications push avec qui que ce soit.
Si vous avez un doute sur la personne qui vous appelle de votre banque pour vous informer d'un débit non autorisé sur votre compte, raccrochez et rappelez votre conseiller bancaire.

En savoir plus sur Tool.RustDesk.1.origin

En savoir plus sur Android.FakeApp.1426

Indicateurs de compromission.

помощникбанков[.]рф
поддержкабанка[.]рф
поддержка-банка[.]рф
цбподдержка[.]рф
поддержкацб[.]рф
24поддержка[.]рф

sha1:2fcee98226ef238e5daa589fb338f387121880c6
sha1:f28cb04a56d645067815d91d079b060089dbe9fe
sha1:9a96782621c9f98e3b496a9592ad397ec9ffb162
sha1:535ecea51c63d3184981db61b3c0f472cda10092
sha1:ee406a21dcb4fe02feb514b9c17175ee95625213

Les Chevaux de Troie Android.Spy.Lydia se dissimulent derrière une plateforme de trading en ligne iranienne

Wed, 13 Sep 2023 00:00:00 GMT

Le 13 septembre 2023

Doctor Web a détecté de nouvelles versions des malwares Android.Spy.Lydia, trojans espions ciblant le système Android et capables de prendre le contrôle de l’appareil à distance. De plus, ces malwares possèdent un mécanisme d’auto-défense leur permettant de savoir s’ils sont lancés dans un émulateur ou sur un appareil de test et de stopper leur activité dans ce cas.

Les trojans sont distribués via des sites web pirates de supposées organisations financières ou bourses en ligne ciblant les utilisateurs en Iran. Un exemple de ce type de site, hxxp[:]//biuy.are-eg[.]com/dashbord/:

Sur cette page, les victimes sont invitées à entrer leurs données personnelles : nom, prénom, numéro de mobile, et N° de carte d’identité. Ensuite, l’utilisateur est redirigé vers la page hxxp[:]//biuy.are-eg[.]com/dashbord/dl.php, qui les informe que pour accéder à la session de trading, il doit télécharger et installer un logiciel. Si il clique sur le bouton de téléchargement, ce n’est pas le logiciel mais bien le trojan Android.Spy.Lydia.1 qu’il télécharge.

Une fois lancé, le trojan récupère un lien vers une page de phishing sur la page hxxp[:]//teuoi[.]com, la page de phishing s’affiche ensuite via le composant WebView sans que le navigateur ne s’ouvre. La version du malware analysée par nos équipes a ouvert l’URL : hxxps[:]//my-edalatsaham[.]sbs/fa/app.php

En voici une capture d’écran :

Cette page contient un formulaire où l’utilisateur doit indiquer son numéro de carte d’identité, et il lui ai expliqué qu’après approbation de ce numéro, les dividences pourront lui être versées. A cette étape, le malware envoie à son serveur C&C l’information que le numéro a bien été recueilli et que l’appareil a bien été infecté.

Une fois qu’il a infecté l’appareil, le trojan se connecte à son hôte distant à ws[:]//httpiamaloneqs[.]xyz:80 , via WebSocket et attend qu’une commande soit envoyée simultanément à tous les appareils vérolés. Chaque commande comporte le numéro d’identifiant de l’appareil auquel elle s’adresse. La capture d’écran ci-dessous montre les commandes envoyées depuis le serveur C&C au botnet.

Android.Spy.Lydia est capable des actions suivantes :

Recueillir des informations sur les applications installées sur l’appareil
Masquer ou afficher son icône sur l’écran d’accueil de l’appareil
Couper le son de l’appareil
Envoyer le contenu des SMS entrants à un serveur ou sur un numéro spéicifé par les attaquants
Envoyer le contenu du presse-papier au serveur
Envoyer des SMS avec un texte personnalisé à certains numéros
Télécharger les liste des contacts du répertoire sur son serveur
Ajouter des contats au répertoire
Télécharger des page Internet en utilisant le composant WebView.

Ces capacités permettent au malware d’intercepter des SMS, de déterminer quelle appli bancaire utilise le propriétaire du téléphone, et d’effectuer des opérations via cette appli. Par exemple, le trojan peut lire les SMS en provenance de la banque, et peut également envoyer, grâce à la technologie A2P, de faux SMS sensés venir de la banque et demandant à l’utilisateur d’effectuer des actions sur son compte. En lisant la correspondance de l’utilisateur, les pirates peuvent se faire passer pour des personnes de confiance ou des connaissances et tenter de l’escroquer. Enfin, le malware peut by-passer l’authentification à deux facteurs et obtenir un accès complet à un compte bancaire.

Ce type d’attaques est en forte augmentation et d’après la Federal Trade Commission, le nombre d’escroqueries par SMS usurpant l’identité a été mutiplié par 20 entre 2019 et 2022. Les pertes financières des utilisateurs due à ce type d’attaques sont estimées à 300 millions de dollars en 2022.

Doctor Web rappelle aux utilisateurs la nécessité d’être vigilant lors de la réception de messages douteux, notamment de messages provenant d’une banque et demandant de donner des codes ou des identifiants. Les banques et autres organisations (assurances, trésor public etc) ne vous demanderont jamais de donner vos codes et identifiants par SMS, par téléphone ou par email. Doctor Web conseille également de toujours télécharger des applications provenant de sites officiels.

L’utilisation d’un antivirus est fortement recommandée.

Dr.Web Security Space pour Android détecte et supprime les trojans de la famille Android.Spy.Lydia.

Indicateurs de compromission

En savoir plus sur Android.Spy.Lydia.1

La boîte de Pandore est ouverte : le célèbre cheval de Troie Mirai revient sous une nouvelle forme sur les téléviseurs et les consoles Android TV

Wed, 06 Sep 2023 17:46:56 GMT

Le 6 septembre 2023

Doctor Web a identifié une famille de chevaux de Troie Android.Pandora qui compromettent les appareils des utilisateurs lors des mises à jour du micrologiciel ou lors de l'installation d'applications pour afficher illégalement du contenu vidéo. Cette porte dérobée a hérité de vastes capacités pour mener des attaques DDoS comme son prédécesseur, le célèbre cheval de Troie Linux.Mirai.

Les experts de Doctor Web ont reçu des rapports de plusieurs utilisateurs sur des cas de modifications de fichiers dans la zone système. Le moniteur de menaces a réagi à la présence des objets suivants dans le système de fichiers sur les appareils :

/system/bin/pandoraspearrk
/system/bin/supervisord
/system/bin/s.conf
/system/xbin/busybox
/system/bin/curl

Une modification des deux fichiers suivants a également été détectée :

/system/bin/rootsudaemon.sh
/system/bin/preinstall.sh

Différents fichiers ont été modifiés sur différents appareils. Il s'est avéré que le script qui installe ce logiciel malveillant recherche les services système dont le code exécutable se trouve dans les fichiers .sh et leur ajoute une chaîne qui lance un cheval de Troie :

/system/bin/supervisord -c /system/bin/s.conf &

Ceci est nécessaire pour que le cheval de Troie prenne pied dans le système et s'exécute après le redémarrage de l'appareil.

Un fichier obscurci nommé pandoraspearrk présente un intérêt particulier. Après avoir été examiné, il a été ajouté à la base virale Dr.Web comme la porte déronbée Android.Pandora.2. Son objectif principal est d'utiliser un appareil infecté au sein d'un botnet pour effectuer des attaques DDoS distribuées. Le fichier supervisord est un service qui surveille l'état du fichier exécutable pandoraspearrk et redémarre la porte dérobée si elle s'arrête. Le supervisord reçoit ses paramètres du fichier s.conf. Les fichiers busybox et curl sont des versions courantes des utilitaires de ligne de commande du même nom qui sont présents pour fournir des fonctions réseau et travailler avec le système de fichiers. Le fichier rootsudaemon.sh démarre le service daemonsu, qui dispose des privilèges root, et le supervisord déjà mentionné avec le transfert des paramètres de s.conf vers celui-ci. Le programme preinstall.sh effectue diverses actions spécifiées par le fabricant de l'appareil.

Ce malware cible les utilisateurs d'appareils Android TV, principalement le segment de prix le plus bas. Plus précisément, elle menace les propriétaires de Tanix TX6 TV Box, MX10 Pro 6K, H96 MAX X3 et d'un certain nombre d'autres décodeurs.

Nous avons découvert que ce cheval de Troie est une modification de la porte dérobée Android.Pandora.10 (anciennement Android.BackDoor.334) contenue dans la mise à jour malveillante du micrologiciel pour le décodeur MTX HTV BOX HTV3 du 3 décembre 2015. Il est probable que cette mise à jour ait été distribuée à partir de divers sites, car elle est signée avec des clés de test accessibles au public Android Open Source Project. Le service qui lance la porte dérobée est inclus dans l'image de démarrage boot.img. L'image ci-dessous montre le lancement d'un service malveillant dans le fichier init.amlogic.board.rc à partir de boot.img.

Le deuxième vecteur de transmission des portes dérobées de la famille Android.Pandora est l'installation d'applications à partir de sites de diffusion illégale de films et de séries télévisées. Des exemples de telles ressources peuvent être des domaines avec des noms tels que youcine, magistv, latinatv et unitv, destinés aux utilisateurs hispanophones.

Après l'installation et le lancement de l'application sur un appareil, le service GoMediaService démarre à l'insu de l'utilisateur. Après le premier lancement de l'application, ce service démarre automatiquement lorsque l'appareil démarre, en appelant le programme gomediad.so. Cette version du programme déballe un certain nombre de fichiers, y compris l'exécutable classes.dex, qui est défini par l'antivirus Dr.Web comme un objet Tool.AppProcessShell.1, un interpréteur de commandes avec des privilèges élevés. Ultérieurement, les programmes sur l'appareil peuvent interagir avec ce shell de ligne de commande via le port ouvert 4521. L'image ci-dessous montre la structure des fichiers créés par le programme gomediad.so, qui est détecté comme Android.Pandora.4, après son lancement.

Parmi les fichiers déballés se trouve .tmp.sh, qui est l'installateur de la porte dérobée Android.Pandora.2. Après l'installation et le démarrage, la porte dérobée reçoit l'adresse du serveur de contrôle à partir des paramètres de la ligne de commande ou d'un fichier crypté par l'algorithme Blowfish. Après avoir accédé au serveur, la porte dérobée télécharge le fichier hosts, en remplaçant le fichier système d'origine par celui-ci, démarre le processus d'auto-mise à jour, puis est prête à recevoir des commandes.

En envoyant des commandes à un appareil infecté, les attaquants peuvent lancer et arrêter des attaques DDoS via des protocoles TCP et UDP, exécuter SYN, ICMP et DNS-flood, ouvrir reverse shell, monter les partitions système du système d'exploitation Android TV pour la lecture et l'écriture, etc. Toutes ces fonctionnalités ont été mises en œuvre à l'aide de l'utilisation du code du cheval de Troie Linux.Mirai, qui, depuis 2016, est utilisé pour organiser des attaques DDoS sur des sites bien connus tels que GitHub, Twitter, Reddit, Netflix, Airbnb et bien d'autres.

Doctor Web recommande de mettre à jour le système d'exploitation de vos appareils vers les dernières versions disponibles qui corrigent les vulnérabilités existantes, ainsi que de télécharger le logiciel uniquement à partir de sources fiables : sites Web officiels ou boutiques d'applications.

Avec les privilèges root, Dr.Web Security Space pour Android est capable de neutraliser Android.Pandora, ainsi que les applications dans lesquelles il est intégré. Si l'accès root est indisponible sur un appareil contaminé, pour éradiquer le malware, vous devez installer une image saine de l'OS qui peut être fournie par le fabricant de l'appareil concerné.

Indicateurs de compromission

En savoir plus sur Android.Pandora.2 et Linux.Mirai

En savoir plus sur Android.Pandora.4

Le Trojan-bootloader Fruity contamine en plusieurs étapes des ordinateurs Windows

Thu, 27 Jul 2023 01:00:00 GMT

le 27 juillet 2023

Doctor Web a révélé une attaque ciblant les utilisateurs Windows et menée à l'aide du Trojan téléchargeur modulaire Trojan.Fruity.1. En utilisant ce Trojan, les attaquants sont en mesure d'infecter des ordinateurs avec différents types d'applications malveillantes en fonction de leurs cibles. Un certain nombre de techniques sont utilisées pour dissimuler l'attaque et augmenter ses chances de succès. Il s'agit notamment d'un processus de contamination en plusieurs étapes pour infecter les systèmes cibles, de l'utilisation de programmes inoffensifs pour lancer des composants et d'une tentative de contourner la protection antivirus.

Depuis environ un an, Doctor Web enregistre des plaintes d'utilisateurs concernant des ordinateurs Windows infectés par le logiciel espion Remcos Rat (Trojan.Inject4.57973). Au cours de l'enquête sur ces incidents, nos experts ont découvert une attaque dans laquelle le rôle principal revient à un cheval de Troie multicomposant Trojan.Fruity.1. Pour le propager, les attaquants créent des sites malveillants, ainsi que des installateurs pour divers programmes, parmi lesquels des outils pour affiner le paramétrage des processeurs, des cartes vidéo et du BIOS, des utilitaires pour vérifier l'état des équipements informatiques et d’autres encore. Ces installateurs servent d'appât et contiennent non seulement le logiciel intéressant la victime potentielle, mais également le cheval de Troie lui-même, ainsi que tous ses composants.

En cas de tentative de télécharger un programme à partir d'un faux site, le visiteur est redirigé vers la page du service de partage de fichiers MEGA, où on lui propose de télécharger une archive zip contenant en réalité un package de Trojan.

Lorsque la victime extrait le fichier exécutable de l'archive et le lance, le processus d'installation standard commence. Et avec le programme inoffensif souhaité, se charge également Trojan.Fruity.1 sur l’ordinateur. Avec d'autres composants, il est copié dans le même dossier que le programme appât.

L'un des modules du cheval de Troie apparaît comme un programme légitime. Dans notre exemple, Trojan.Fruity.1 est intégré dans l'une des bibliothèques du langage de programmation Python, qui est exécuté à l'aide de l'interpréteur python.exe avec une signature numérique valide. De plus, des cas d'utilisation de fichiers VLC et VMWare comme modules légitimes ont été identifiés.

Vous trouverez ci-dessous une liste des fichiers associés au cheval de Troie :

python39.dll — une copie de la bibliothèque du paquet Python avec du code malveillant intégré,
python.exe — l'interpréteur Python original pour exécuter la bibliothèque modifiée,
idea.cfg — fichier de configuration contenant des données relatives à l'emplacement de la charge utile,
idea.mp3 — modules de chevaux de Troie chiffrés,
fruit.png — charge utile cryptée.

Après les avoir retirés de l'installateur, un processus d'infection en plusieurs étapes du système commence. L'image suivante montre un schéma général de l'algorithme de fonctionnement de Trojan.Fruity.1:

1ère étape de contamination

Au lancement de la bibliothèque python39.dll, Trojan.Fruity.1 déchiffre le contenu du fichier idea.mp3 et en extrait la bibliothèque dll et le shellcode (code №1) pour la deuxième étape. Il lit également le contenu du fichier idea.cfg. Le dernier contient une ligne avec des informations sur l'emplacement de la charge utile que le cheval de Troie doit lancer. La charge utile peut être téléchargée à partir d'Internet ou placée localement sur l'ordinateur cible. Dans ce cas, le fichier fruit.png local précédemment extrait par l'installateur du cheval de Troie est utilisé.

2eme étape de contamination

Le code Shell déchiffré (code №1) lance l'interpréteur de commande cmd.exe en mode pause. Des informations sur l'emplacement de la charge utile (fruit.png), le code Shell de la troisième étape (code №2), ainsi que le contexte de son fonctionnement sont enregistrés dans la mémoire du processus créé. Ensuite, un patch est inséré dans l'image du fichier dll décrypté à la première étape, indiquant l'adresse du contexte dans le processus. Puis ce fichier dll est injecté dans le processus cmd.exe, après quoi la gestion passe à la bibliothèque.

3eme étape de contamination

La bibliothèque injectée vérifie la chaîne reçue avec des données sur l'emplacement de la charge utile cryptée. Si la chaîne commence par l'abréviation HTTP, la bibliothèque essaie de télécharger le fichier cible à partir d'Internet. Sinon, elle utilise un fichier local. Dans ce cas, le chemin local vers le fichier fruit.png est transmis à la bibliothèque. Cette image est déplacée vers un répertoire temporaire et le code №2 est exécuté pour la déchiffrer. Dans le fichier fruit.png, deux fichiers exécutables (bibliothèques dll) sont cachés à l'aide de la stéganographie, ainsi que le code Shell pour initialiser l'étape suivante (code №3).

4eme étape de contamination

Après avoir terminé les étapes précédentes, Trojan.Fruity.1 lance le code n №3. Avec son aide, il tente de contourner la détection par les logiciels antivirus et d'interférer avec le processus de son débogage lorsqu'il est analysé par des spécialistes en sécurité.

Le cheval de Troie tente d'effectuer une injection dans le processus msbuild.exe du programme MSBuild. En cas d'échec, la tentative est répétée pour les processus cmd.exe (interpréteur de commandes Windows) et notepad.exe (programme Notepad). Dans le processus cible, en utilisant la méthode Process Hollowing, l'une des deux bibliothèques dll déchiffrées depuis l'image fruit.png est introduite, ainsi que le code Shell pour initialiser la cinquième étape (code №4).

Ensuite, dans le répertoire temporaire du système, un fichier dll avec un nom aléatoire est créé, dans lequel le contenu du fichier exécutable déchiffré à partir de la même image est enregistré. Ce fichier est également injecté dans le processus cible, ici, grâce à la méthode Process Doppelgänging, qui permet de remplacer en mémoire le processus d'application original par un processus malveillant. Dans ce cas, la bibliothèque est un cheval de Troie espion Remcos RAT.

5eme étape de contamination

En utilisant le code Shell intégré à la bibliothèque (code №4) et la bibliothèque dll, Trojan.Fruity.1 installe l'application python.exe dans l'auto-démarrage de l'OS. Il crée également une tâche pour son lancement dans le planificateur système. De plus, Trojan.Fruity.1 ajoute cette application à la liste des exclusions de l'antivirus embarqué Windows. Ensuite, le code Shell écrit des données aléatoires à la fin du fichier python39.dll de telle sorte qu'il change la quantité de hachage et diffère ainsi du fichier original du programme d'installation du cheval de Troie. Enfin, il modifie les métadonnées de la bibliothèque en changeant la date et l'heure de sa création.

Trojan.Fruity.1 diffuse actuellement le logiciel espion Remcos RAT, mais il peut être utilisé avec d'autres malwares, téléchargés sur Internet ou bien distribués au sein d’installateurs de logiciels. Les cybercriminels peuvent ainsi mettre en œuvre divers scénarios d'attaque.

Nos experts rappellent qu'il faut télécharger des logiciels uniquement à partir de sources fiables, des sites de développeurs officiels et de catalogues spécialisés. De plus, il faut installer un antivirus pour protéger les ordinateurs. Les produits Dr.Web détectent et suppriment avec succès le Trojan Trojan.Fruity.1 et ses composants malveillants.

En savoir plus sur Trojan.Fruity.1

En savoir plus sur Trojan.Inject4.57973

Indicateurs de compromission

Dans des versions piratées de Windows 10, un Trojan stealer vole de la crypto-monnaie. Il infiltre le PC via la partition système EFI.

Tue, 13 Jun 2023 00:00:00 GMT

Le 13 juin 2023

Doctor Web a détecté un Trojan stealer dans un certain nombre de versions non officielles de Windows 10, que les attaquants ont distribuées via un tracker torrent. Nommée Trojan.Clipper.231, cette application malveillante remplace les adresses des portefeuilles crypto dans le presse-papiers par des adresses indiquées par les pirates. À l'heure actuelle, à l'aide de ce malware, les attaquants ont réussi à voler de la crypto-monnaie pour un montant équivalent à environ 19 000 $.

Fin mai 2023, un client a contacté Doctor Web car il soupçonnait que son ordinateur, tournant sous Windows 10, était infecté. L'analyse menée par nos spécialistes a confirmé la présence de chevaux de Troie dans le système : le stealer Trojan.Clipper.231 et les applications malveillantes Trojan.MulDrop22.7578 et Trojan.Inject4.57873 ayant assuré son lancement. Le laboratoire de Doctor Web a localisé avec succès toutes ces menaces et a réussi à les neutraliser.

Dans le même temps, il s'est avéré que le système d'exploitation cible était une version non officielle et que des logiciels malveillants y étaient initialement intégrés. Une enquête plus approfondie a révélé plusieurs de ces versions de Windows infectées :

Windows 10 Pro 22H2 19045.2728 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 + Office 2021 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2846 x64 by BoJlIIIebnik RU.iso
Windows 10 Pro 22H2 19045.2913 + Office 2021 x64 by BoJlIIIebnik [RU, EN].iso
Windows 10 Pro 22H2 19045.2913 x64 by BoJlIIIebnik [RU, EN].iso

Tous les builds étaient disponibles en téléchargement sur un tracker torrent, mais il ne peut pas être exclu que les attaquants utilisent d'autres sites pour distribuer des images infectées du système.

Les programmes malveillants dans ces assemblages se trouvent dans le répertoire système :

\Windows\Installer\iscsicli.exe (Trojan.MulDrop22.7578)
\Windows\Installer\recovery.exe (Trojan.Inject4.57873)
\Windows\Installer\kd_08_5e78.dll (Trojan.Clipper.231)

L'initialisation du stealer se fait en plusieurs étapes. D'abord, le planificateur système est utilisé pour lancer le programme malveillant Trojan.MulDrop22.7578:

%SystemDrive%\Windows\Installer\iscsicli.exe

Son objectif est de monter la partition système EFI sur le disque M:\, d'y copier deux autres composants puis de supprimer les fichiers originaux du Trojan du disque C:\, ensuite, il doit lancer Trojan.Inject4.57873 et démonter la partition EFI.

A son tour, Trojan.Inject4.57873 utilisant la technique Process Hollowing, infiltre Trojan.Clipper.231 dans le processus système %WINDIR%\\System32\\Lsaiso.exe, ensuite, le stealer se met à fonctionner.

Après avoir obtenu le contrôle, Trojan.Clipper.231 commence à suivre le presse-papiers et remplace les adresses copiées des portefeuilles crypto par des adresses indiquées par les pirates. Le malware agit avec un certain nombre de restrictions. Tout d'abord, il ne commence à remplacer que s'il existe le fichier système %WINDIR%\\INF\\scunown.inf. Deuxièmement, le cheval de Troie vérifie les processus actifs. S'il détecte les processus d'un certain nombre d'applications qui sont dangereuses pour lui, il ne falsifie pas les adresses de portefeuille crypto.

L'infiltration de logiciels malveillants dans la partition système EFI des ordinateurs en tant que vecteur d'attaque est encore très rare. Par conséquent, le cas identifié est d'un grand intérêt pour les spécialistes de la sécurité informatique.

Selon les calculs de nos analystes, au moment de la publication de la news, les pirates ayant utilisé le stealer Trojan.Clipper.231 ont volé 0.73406362 BTC et 0.07964773 ETH, ce qui équivaut à peu près à un montant de18 976 $.

Doctor Web recommande aux utilisateurs de télécharger uniquement des images ISO originales des systèmes d'exploitation et uniquement à partir de sources fiables, telles que les sites Web des éditeurs. Dr.Web Antivirus détecte et neutralise Trojan.Clipper.231 ainsi que les applications malveillantes associées, de sorte que ces chevaux de Troie ne présentent pas de danger pour nos utilisateurs si leur antivirus est bien à jour et qu’aucune fonctionnalité importante n’est désactivée.

En savoir plus sur Trojan.Clipper.231

En savoir plus sur Trojan.MulDrop22.7578

En savoir plus sur Trojan.Inject4.57873

Indicateurs de compromission

Un SDK contenant le module SpinOk ayant des fonctionnalités espions et diffusé via des applis a été installé plus de 421 millions de fois

Mon, 29 May 2023 03:00:00 GMT

le 29 mai 2023

Doctor Web a identifié un module logiciel pour le système d'exploitation Android qui a des fonctionnalités de logiciels espions. Il recueille des informations sur les fichiers stockés sur les appareils, et est capable de les transférer, il peut également remplacer et télécharger le contenu du presse-papiers sur un serveur distant. Ce module est distribué sous la forme d'un SDK à visées marketing et est intégré par les développeurs dans divers jeux et applications Android disponibles sur Google Play. Dr.Web le classe comme Android.Spy.SpinOk.

Le module SpinOk est conçu pour garder les utilisateurs dans les applications grâce à des mini-jeux, un système de tâches, ainsi que des tirages au sort présumés. Une fois initialisé, ce cheval de Troie SDK se connecte au serveur C&C, lui envoyant une requête contenant des données techniques sur le périphérique infecté, notamment des données du gyroscope, du magnétomètre, etc., qui peuvent être utilisées pour savoir si l’appareil fonctionne dans un environnement virtuel, émulateur, bac à sable et ajuster le fonctionnement d'une application malveillante contenant le Trojan pour éviter sa détection par les chercheurs. Dans le même but, les paramètres de proxy de l'appareil sont ignorés, ce qui permet de masquer les connexions réseau pendant l'analyse. En réponse, le module reçoit du serveur de contrôle une liste de liens qu'il charge sur WebView pour afficher des bannières publicitaires.

Voici un exemple de publicités affichées par Android.Spy.SpinOk :

Dans le même temps, le cheval de Troie SDK étend les capacités du code JavaScript exécuté sur les pages Web publicitaires téléchargeables. Il ajoute de nombreuses fonctionnalités à ce code, notamment :

réception d'une liste de fichiers dans les répertoires indiqués,
vérification de la présence d'un fichier ou d’un répertoire en particulier sur l'appareil,
réception d'un fichier depuis un appareil,
réception et modification du contenu du presse-papiers.

Cela permet à ceux qui gèrent ce Trojan de récupérer des informations sensibles et des fichiers à partir de l'appareil de l'utilisateur. Par exemple, les fichiers accessibles par une application embarquant Android.Spy.SpinOk. Pour ce faire, les attaquants devront ajouter le code approprié à la page HTML de la bannière publicitaire.

Les experts de Doctor Web ont détecté ce Trojan et plusieurs modifications de celui-ci dans un certain nombre d'applications distribuées via le catalogue Google Play. Certaines d'entre elles contiennent le SDK malveillant, d'autres ne l'avaient que dans certaines versions, ou ont déjà été supprimées. Nos analystes l'ont trouvé dans 105 programmes qui ont été téléchargés au moins 421 290 300 fois au total. Ainsi, des centaines de millions de propriétaires d'appareils Android risquent d'être victimes de cyber espionnage. Doctor Web a informé Google de la menace détectée.

Voici les noms des 10 programmes les plus populaires dans lesquels le cheval de Troie SDK Android.Spy.SpinOk a été détecté :

Noizz : éditeur vidéo avec musique (au moins 100 000 000 d'installations),
Zapya-Transfer, partage de fichiers (au moins 100 000 000 d'installations ; le module Trojan était présent de la version 6.3.3 à la version 6.4 et est manquant dans la version actuelle 6.4.1),
VFly : video editor&video maker (au moins 50 000 000 d'installations),
VFly : MV video status maker (au moins 50 000 000 d'installations),
Biugo : éditeur vidéo magique (au moins 50 000 000 d'installations),
Crazy Drop (au moins 10 000 000 d'installations),
Cashzine - Earn money reward (au moins 10 000 000 d’installations),
Fizzo Novel - Reading Offline (au moins 10 000 000 d'installations),
CashEM :Get Rewards (au moins 5 000 000 d'installations),
Cochez :watch to earn (au moins 5 000 000 d'installations).

La liste complète des applications peut être consultée sur ce lien.

Dr.Web Antivirus pour les appareils mobiles Android détecte et supprime avec succès toutes les versions connues du module Trojan Android.Spy.SpinOk et les applications dans lesquelles il est intégré.

En savoir plus sur Android.Spy.SpinOk

Indicateurs de compromission

La news a été complétée le 15 septembre 2023

SpinOk a contacté Doctor Web pour vérifier et éliminer les causes de la détection. Après l'analyse, quelques corrections ont été apportées par SpinOK, le module (com.spin.ok.gp) a été mis à jour vers la version 2.4.2, où il n'y a pas de fonctionnalité malveillante. Rapport sur l'analyse du module actualisé.

La news a été complétée le 15 septembre 2023