Mispadu: publicité pour un repas malheureux à prix réduit – Serveur d’impression
Un autre de nos séries occasionnelles démystifiant les chevaux de Troie bancaires latino-américains
Dans cet article de notre série de blogs, nous nous concentrerons sur Mispadu, ambitieux cheval de Troie bancaire latino-américain qui utilise la publicité malveillante de McDonald et étend sa surface d’attaque aux navigateurs Web.
Nous pensons que cette famille de malwares cible le grand public. Ses principaux objectifs sont le vol d’argent et de pièces d’identité. Au Brésil, nous avons assisté à la distribution d'une extension malveillante de Google Chrome qui tente de voler des données de carte de crédit et des données bancaires en ligne, et qui compromet le système de paiement Boleto.
Sommaire
Caractéristiques
Mispadu est une famille de logiciels malveillants, identifiée lors de notre recherche sur les chevaux de Troie bancaires en Amérique latine, qui cible le Brésil et le Mexique. Il est écrit en Delphi et attaque ses victimes en utilisant la même méthode que les familles décrites précédemment dans cette série: en affichant de fausses fenêtres contextuelles et en essayant de persuader les victimes potentielles de divulguer des informations sensibles.
Pour ses fonctionnalités de porte dérobée, Mispadu peut prendre des captures d’écran, simuler des actions de la souris et du clavier et capturer des frappes au clavier. Il peut se mettre à jour via un fichier de script Visual Basic (VBS) qu'il télécharge et exécute.
Comme les autres chevaux de Troie bancaires latino-américains, Mispadu collecte également des informations sur ses victimes, à savoir:
- Version du système d'exploitation
- Nom de l'ordinateur
- ID de langue
- si Diebold Warsaw GAS Tecnologia (une application populaire au Brésil pour protéger l'accès aux services bancaires en ligne) est installée
- liste des applications bancaires communes installées en Amérique latine
- liste des produits de sécurité installés
Comme dans les cas d'Amavaldo et de Casbaneiro, Mispadu peut également être identifié en utilisant un algorithme cryptographique unique et personnalisé pour masquer les chaînes dans son code. Ceci est utilisé dans tous les composants, ainsi que pour protéger ses fichiers de configuration et les communications C & C. La figure 1 illustre le code noyau implémentant cet algorithme et la pseudocode de la figure 2 pour cet algorithme.
Figure 1. Algorithme de Mispadu pour le déchiffrement des données
|
def decrypt_string(data_enc, clé): la graine = data_enc[[0] – 0x41 # 'UNE' data_dec = str() pour je dans intervalle(1, len(data_enc), 2): b1 = (data_enc[[je] – 0x41) * 25 b2 = data_enc[[je+1] – 0x41 – la graine – clé data_dec + = chr(b1 + b2) revenir data_dec |
Figure 2. Pseudocode de l'algorithme de Mispadu pour le déchiffrement des données
L'exécutable de cheval de Troie bancaire est livré avec quatre applications potentiellement indésirables stockées dans sa section des ressources. Ces applications sont toutes des fichiers légitimes de Nirsoft, mais ont été corrigées pour s'exécuter à partir de la ligne de commande sans interface graphique. Les logiciels malveillants les utilisent pour extraire les informations d'identification stockées:
- navigateurs (Google Chrome, Mozilla Firefox, Internet Explorer), et
- clients de messagerie (Microsoft Outlook, Mozilla Thunderbird et Windows Live Mail, entre autres).
Mispadu surveille également le contenu du presse-papiers et tente de remplacer le portefeuille potentiel en bitcoin par le sien, comme l’a fait Casbaneiro. Cependant, en examinant le portefeuille de l’attaquant (voir Figure 3), il n’a pas été très fructueux à ce jour.
Figure 3. Portefeuille Bitcoin utilisé par l'opérateur Mispadu
Distribution
Mispadu utilise deux méthodes de distribution: le courrier indésirable (voir Figure 4) et la publicité incorrecte. Alors que la première méthode est très courante pour les chevaux de Troie bancaires latino-américains, la seconde ne l’est pas, examinons-la de plus près. La figure 5 montre le déroulement de l'attaque de Mispadu.
Figure 4. Exemples d’e-mails de spam distribuant Mispadu. Celui qui cible le Brésil (à gauche) affirme que le destinataire a été absent pendant trois tentatives de livraison de colis et qu'il devrait suivre l'URL pour obtenir un remboursement. Celui qui cible le Mexique (à droite) invite le destinataire à télécharger une facture pour éviter le «blocage» du compte.
Figure 5. Chaîne de distribution et d’exécution de Mispadu
L’acteur de la menace a placé des publicités sponsorisées (voir la figure 6 pour un exemple brésilien) sur Facebook offrant de faux coupons de réduction pour McDonald’s. En cliquant sur les publicités, la victime potentielle est dirigée vers l’une des pages Web illustrées à la figure 7. Quel que soit le système d’exploitation du visiteur, cliquer sur le bouton correspondant permet de télécharger une archive ZIP contenant un programme d’installation MSI. Parfois, ces archives contiennent également des logiciels légitimes tels que Mozilla Firefox ou PuTTY, mais ils ne sont que des leurres et ne sont pas utilisés du tout.
Les opérateurs de Mispadu ont compilé deux versions différentes du cheval de Troie bancaire en fonction du pays qu’elles attaquent. En outre, ils ont décidé d'utiliser différents installateurs et étapes ultérieures pour chaque pays attaqué. Cependant, la logique des deux chaînes est la même et nous décrivons cette forme générale ci-dessous.
Figure 6. Annonces Facebook créées par les opérateurs de Mispadu menant à de faux sites Web de coupons McDonald’s (traduction du titre de l’annonce: «Utilisez-les un jour de septembre! Coupons de l’indépendance. À vous de jouer»)
Figure 7. Pages Web malveillantes proposant de faux coupons de réduction pour McDonald’s Brazil (à gauche) et Mexique (à droite) (traduction du texte principal des deux: "Ce coupon ne peut être utilisé qu'une seule fois. Je veux / Générer un coupon")
Lorsque la victime potentielle exécute le programme d'installation MSI, une chaîne de trois scripts VBS est créée. Le premier script (déballeur) déchiffre et exécute le second script (téléchargeur) à partir de ses données internes, comme le montre la figure 8. Le téléchargeur script récupère le troisième script (chargeur) et l'exécute (voir la figure 9).
Figure 8. Script de décompresseur de la chaîne de distribution Mispadu (étape 1). Notez que la clé est calculée dans la variable w2 à la valeur 95.
Figure 9. Script du téléchargeur de la chaîne de distribution Mispadu (étape 2). Notez que la clé codée en dur est la même que dans l'étape précédente.
le chargeur Le script est plus compliqué que les deux premières étapes. C'est spécifique à la localisation; il vérifie l'identificateur de langue de la machine victime potentielle pour vérifier qu'il provient bien du pays ciblé par la campagne en cours (Brésil ou Mexique, respectivement). Il peut également détecter certains environnements virtuels. si un environnement virtuel est détecté ou si les paramètres régionaux souhaités ne sont pas trouvés, le chargeur quitte.
Sinon, le chargeur Le script continue en définissant des fichiers de configuration (décrits en détail plus loin) et en téléchargeant (i) un cheval de Troie bancaire Mispadu, (ii) un injecteur (DLL) utilisé pour l’exécuter et (iii) des DLL de support légitimes. Chaque fichier est téléchargé dans une archive ZIP distincte, comme illustré à la figure 5. Nous fournissons un pseudocode pour l'algorithme de déchiffrement de la figure 10.
|
def decrypt_payload(data_enc): clé = data_enc[[0] data_dec = str() pour je dans intervalle(1, len(data_enc)): data_dec + = chr(data_enc[[je] – ((clé + je – 1) % dix)) revenir data_dec |
Figure 10. Pseudocode de l’algorithme de déchiffrement de la charge utile de Mispadu
Les serveurs de téléchargement de Mispadu vérifient la validité des demandes qu’ils reçoivent. L'envoi d'une demande non valide entraîne une réponse d'image obscène que nous ne pouvons pas reproduire ici.
Finalement, le chargeur Le script configure la persistance en créant un lien dans le dossier de démarrage et en exécutant l'injecteur. Ceci se fait via rundll32.exe en appelant une fonction exportée de la DLL d'injecteur dont le nom provient d'un des fichiers de configuration précédemment configurés. L'injecteur localise le cheval de Troie bancaire crypté, puis le déchiffre et l'exécute.
Nous avons trouvé un répertoire ouvert sur l'un des serveurs utilisés par Mispadu et les fichiers connectés à une campagne très similaire y étaient stockés. Ces fichiers peuvent être utilisés pour créer une page Web imitant AreaVIP (un site de tabloïd au Brésil) et pour forcer une fausse mise à jour d'Adobe Flash Player sur ses victimes potentielles. Nous n'avons pas observé cette campagne dans la nature et pensons qu'il pourrait s'agir d'une configuration pour l'avenir.
Depuis que la campagne Mispadu ciblant le Brésil a utilisé le raccourcisseur d’URL Tiny.CC, nous avons pu rassembler des statistiques. Comme le montre la figure 11, cette campagne a généré près de 100 000 clics, exclusivement en provenance du Brésil. Les clics provenant d’Android résultent probablement du fait que la publicité est affichée sur Facebook, quel que soit le périphérique de l’utilisateur. Vous pouvez également constater que la campagne est récurrente: une phase s’est terminée au cours de la seconde moitié de septembre 2019 et a refait surface au début d’octobre 2019.
Figure 11. Statistiques de la campagne Mispadu Brésilien
Partage d'une pièce jointe
Les e-mails de spam et le faux site Web de McDonald’s sont intéressants sous un autre aspect: à partir duquel le faux coupon est téléchargé. Les opérateurs de Mispadu ont abusé de la plate-forme russe Yandex.Mail pour stocker leur charge utile (voir Figure 12). Le scénario le plus probable est que les opérateurs ont créé un compte sur Yandex.Mail, envoyé un e-mail avec le coupon malveillant en pièce jointe, puis indiqué à la victime potentielle un lien direct vers cette pièce jointe.
Figure 12. URL de téléchargement de l'archive contenant le programme d'installation malveillant de Mispadu MSI.
Configuration
L'utilisation de fichiers de configuration est assez rare parmi les chevaux de Troie bancaires latino-américains; Cependant, dans l'ensemble, Mispadu en utilise trois différents et ne peut fonctionner sans eux. Tous les fichiers de configuration sont soit contenus dans, soit obtenus par chargeur script décrit plus tôt.
La configuration d'exécution de Mispadu est uniquement stockée en mémoire avec les données téléchargées à partir de l'un de ses serveurs de téléchargement (serveur distant 1 sur la figure 5). Il contient trois informations cruciales:
- une chaîne nécessaire pour créer l'URL pour télécharger l'injecteur
- le nom du dossier où le malware sera installé
- le nom de la fonction exportée de l'injecteur à appeler afin d'exécuter le cheval de Troie bancaire
Les données de configuration générales sont abandonnées dans C: Utilisateurs Public % NOMORDINATEUR%[1], étant nommé comme la deuxième lettre du nom de l'ordinateur de la victime (ainsi, pour un ordinateur nommé «JOHN-PC», le fichier serait nommé «O»). Il est créé à partir des données contenues dans le chargeur script et dans le fichier de configuration d’exécution, contient les informations de version, la clé cryptographique et les chemins du système de fichiers.
Les données de configuration C & C sont stockées dans un fichier au même emplacement que le précédent sous le même nom de fichier avec “_” ajouté (“O_”, pour continuer l'exemple précédent). Cela consiste en:
- # ip # (espace réservé pour une adresse IP utilisée par le cheval de Troie bancaire pour recevoir des commandes de porte dérobée)
- #wp[1-3]# (espaces réservés pour 3 ports associés à # ip #)
- deux listes de 31 domaines chacune (liste principale et liste de sauvegarde)
Mispadu choisit ses domaines de C & C de sauvegarde et de sauvegarde parmi ces listes en fonction du jour du mois en cours. Il essaie ensuite d'obtenir une version mise à jour du fichier de configuration C & C à partir de ce domaine toutes les quelques heures et remplace le fichier supprimé par celui-ci. Nous pensons que l’idée principale de cette approche est de remplir les espaces réservés afin d’activer la fonctionnalité de porte dérobée.
Protégez votre Chrome
C’est une bonne idée, mais ne le faites pas avec l’extension malveillante du navigateur Google Chrome que nous avons observée et distribuée avec le cheval de Troie bancaire Mispadu au Brésil (voir la figure 13). L’extension (voir la figure 14 s’appelle «Sécurité[[sic]System 1.0 ”et prétend vous aider“ Protégez votre Chrome ”(traduction:“ Protégez votre Chrome ”). Il consiste en trois fichiers JavaScript malveillants décrits ci-dessous.
Figure 13. Partie de la chaîne de distribution de Mispadu qui change également lorsque l'extension malveillante Google Chrome est également distribuée. Le reste de la chaîne de distribution reste le même.
Figure 14. Extension Google Chrome illicite installée par Mispadu.
Composant 1: Manipulation des fenêtres
Ce composant simple n'a qu'une seule fonctionnalité: il crée une nouvelle fenêtre Google Chrome et ferme toutes les autres. Ce composant n'était pas présent dans tous les échantillons analysés et nous pensons qu'il est encore en phase de test.
Composant 2: Vol de données de carte de crédit
Le deuxième composant contient une liste codée en dur de sites Web. Dans les pages servies à partir de ces sites, il recherche tout champ de saisie contenant «texte», «email», «tel», «numéro», «mot de passe» ou «radio». Si «CVV», «CÓD SEG» ou leurs variantes se trouvent n'importe où sur le site Web, le contenu de ces champs de saisie est envoyé à l'attaquant lorsque la victime transmet les informations. Cela révèle clairement l’intention de cette partie de l’extension – le vol de données de carte de crédit.
Composante 3: Vol de données bancaires et Boleto
Le troisième composant est le plus avancé. Premièrement, en utilisant un algorithme de type DGS, il génère deux chaînes basées sur le jour du mois en cours et le numéro du mois. Ces chaînes sont ensuite utilisées pour former une URL GitHub sous la forme de https://raw.githubusercontent.com/%FIRST_STRING%/w/master/%SECOND_STRING%,
où % FIRST_STRING% est un nom d'utilisateur GitHub. Les données téléchargées à partir de l'URL générée sont déchiffrées dans une URL différente que nous appellerons. URL de charge utile.
Ce composant contient également une liste codée en dur des sites Web ciblés, comme le précédent. Si la victime visite l'un de ces sites Web, un fichier JavaScript malveillant spécifique à ce site Web est obtenu à partir du URL de charge utile et chargé dynamiquement via la fonction eval de JavaScript.
En outre, cette composante tente également de compromettre l'utilisation de Boleto, un système de paiement populaire répandu au Brésil. Le système est depuis longtemps une cible attrayante pour les attaquants (vous pouvez en lire plus dans cet article à partir de 2014). Pour payer avec ce système, vous devez imprimer un ticket (boleto). Celui-ci contient principalement un numéro d’identification spécifique au compte bancaire sur lequel le paiement doit être effectué, ainsi qu’un code à barres (voir la figure 15). Le paiement est ensuite effectué en scannant le code à barres ou en saisissant manuellement le numéro d'identification.
Figure 15. Exemple de boleto (source: Wikipedia)
À l'aide d'une expression régulière, le composant malveillant tente de trouver le numéro d'identification et de le remplacer par celui de l'attaquant (obtenu de manière dynamique). De plus, il abuse d’un site Web légitime pour générer le code à barres de paiement en utilisant le numéro de compte de l’attaquant et le remplace par celui-ci. La partie du code responsable de compromettre Boleto est illustrée à la figure 16.
Figure 16. Extension Google Chrome de Mispadu qui compromet Boleto. Le code permettant d’obtenir le numéro de compte de l’attaquant est marqué en rouge, la génération de codes-barres malveillants en vert.
Différences entre les campagnes
Outre les différences déjà mentionnées et le fait évident que chaque variante du cheval de Troie bancaire Mispadu cible un ensemble différent de banques dépendant de leur pays de résidence, la campagne brésilienne diffère de la mexicaine par plusieurs autres aspects mineurs.
Il semble que les chemins du système de fichiers et les noms de fichiers où les fichiers de configuration sont stockés et que le cheval de Troie bancaire soit installé pour chaque victime soient randomisés. De plus, le chargeur le script contient une partie qui n’est pas utilisée au moment de la rédaction mais qui est prête à abuser de Windows mshta.exe d'exécuter le cheval de Troie bancaire actuel au lieu de rundll.exe.
Conclusion
Dans ce billet de blog, nous avons parlé de Mispadu, une autre famille de troyens bancaires latino-américains isolée au cours de nos recherches. Nous avons montré ses principales caractéristiques, y compris les raisons pour lesquelles nous le considérons comme un cheval de Troie bancaire en Amérique latine: écrit dans Delphi, cible le Brésil et le Mexique, utilise des fenêtres contextuelles et contient des fonctionnalités de porte dérobée.
Nous avons décrit sa chaîne de distribution la plus récente et mis l'accent sur des aspects intéressants, tels que Yandex.Mail, utilisé pour stocker les charges malveillantes et l'utilisation des publicités Facebook malveillantes. Nous avons également analysé les fichiers de configuration utilisés par Mispadu.
Enfin, nous avons parlé d’une extension malveillante de Google Chrome que Mispadu distribue au Brésil. L’objectif de cette extension est de voler des informations de carte de crédit, des informations bancaires sensibles et d’essayer de voler de l’argent à ses victimes en compromettant le système de paiement Boleto au Brésil.
Pour toute demande de renseignements, contactez-nous à l'adresse suivante :urtintel@eset.com. Des indicateurs de compromis peuvent également être trouvés dans notre dépôt GitHub.
Indicateurs de compromis (IoC)
Des hachis
Campagne brésilienne
| SHA-1 | La description | Nom de détection ESET |
|---|---|---|
| A4EDA0DD2C33A644FEEF170F5C24CF7595C19017 | Installateur MSI | VBS / TrojanDownloader.Agent.RVY |
| A9BADCBF3BD5C22EEB6FAF7DB8FC0A24CF18D121 | Injecteur de Mispadu | Win32 / Injector.EHXF |
| 337892E76F3B2DF0CA851CCF4479E56EAF2DB8FD | Cheval de Troie bancaire Mispadu (horodatage de la compilation PE 8 septembre 2019) | Win32 / Spy.Mispadu.C |
| A8CD12CC0BBD06F14AA136EA5A9A2E299E450B18 | Cheval de Troie bancaire Mispadu (horodatage de la compilation PE 2 oct. 2019) | Win32 / Spy.Mispadu.C |
Campagne mexicaine
| SHA-1 | La description | Nom de détection ESET |
|---|---|---|
| CFE21DBFB97C2E93F099D351DE54099A3FC0C98B | Installateur MSI | VBS / TrojanDownloader.Agent.RVY |
| 251AC7386D1B376FB1CB0E02BDFC45472387C7BC | Injecteur de Mispadu | Win32 / Injector.EHXF |
| A4FC4162162A02CE6FEADFE07B22465686A0EC39 | Cheval de Troie bancaire Mispadu (horodatage de la compilation PE 10 Sep, 2019) | Win32 / Spy.Mispadu.J |
| 710A20230B9774B3D725539385D714B2F80A5599 | Cheval de Troie bancaire Mispadu (horodatage de la compilation PE 11 Sep, 2019) | Win32 / Spy.Mispadu.J |
Extension Google Chrome
| SHA-1 | La description | Nom de détection ESET |
|---|---|---|
| 3486F6F21034A33C5425A398839DE80AC88FECA8 | Composant 1 (manipuler des fenêtres) | JS / Spy.Banker.DQ |
| 1D19191FB2E9DED396B6352CBF5A6746193D05E8 | Composant 2 (cartes de crédit) | JS / Spy.Banker.DQ |
| 22E6EBDFAB7C2B07FF8748AFE264737C8260E81E | Composante 3 (données bancaires et Boleto) | JS / Spy.Banker.DQ |
Applications potentiellement indésirables pour le vol d'informations d'identification
| SHA-1 | La description | Nom de détection ESET |
|---|---|---|
| 63DCBE2DB9CC14564EB84D5E953F2F9F5C54ACD9 | Stealer des informations d'identification du client de messagerie | Win32 / PSWTool.MailPassView.E |
| 8B950BF660AA7B5FB619E1F6E665D348BF56C86A | Voleur d'informations d'identification Google Chrome | Win32 / PSWTool.ChromePass.A |
| F6021380AD6E26038B5629189A7ADA5E0022C313 | Stealer d'informations d'identification Mozilla Firefox | Win32 / PSWTool.PassFox.F |
| 76F70276EB95FFEC876010211B7198BCBC460646 | Voleur d'informations d'identification Internet Explorer | Win32 / PSWTool.IEPassView.NAH |
Noms de fichiers
- C: Utilisateurs Public % NOMORDINATEUR%[1]
- C: Utilisateurs Public % NOMORDINATEUR%[1]_
- C: Utilisateurs Public winx86, libeay32, ssleay32 .dll (DLL légitimes téléchargés par le chargeur scénario; indicateur partiel)
Serveurs utilisés
- http: //18.219.25[.]133 / br / mp1a 1, sq, sl, ss .aj5
- http: //3.19.223[.]147 / br / mp1a 1, sq, sl, ss .aj5
- http: //51.75.95[.]179 / la8a 1, sq, sl, ss .ay2
URL des bons de réduction
- Brésil
- http: // promoscupom[.]cf /
- http: //mcdonalds.promoscupom[.]cf / index3.html
- Mexique
- http: //mcdonalds.promoscupom[.]cf / index2.html
Portefeuille Bitcoin
- 3QWffRcMw6mmwv4dCyYZsXYFq7Le9jpuWc
Techniques MITRE ATT & CK
| Tactique | ID | prénom | La description |
|---|---|---|---|
| Accès initial | T1192 | Lien spearphishing | Dans les campagnes anti-spam de Mispadu, la victime est dirigée vers la charge utile par un lien malveillant. |
| Exécution | T1085 | Rundll32 | Le cheval de Troie bancaire Mispadu est exécuté par un injecteur exécuté via rundll32.exe. |
| Persistance | T1176 | Extensions du navigateur | La variante Mispadu ciblant le Brésil utilise une extension de navigateur Google Chrome. |
| T1060 | Registre exécuter clés / dossier de démarrage | Mispadu assure la persistance en créant un lien dans le dossier de démarrage. | |
| Défense Evasion | T1140 | Désobfuscation / décodage de fichiers ou d'informations | Mispadu utilise des fichiers de configuration encodés. |
| T1036 | Mascarade | Mispadu se fait passer pour un coupon de réduction. | |
| T1064 | Scripting | Mispadu utilise VBS exclusivement dans ses chaînes de distribution. | |
| Accès aux informations d'identification | T1056 | Capture d'entrée | Mispadu peut exécuter un enregistreur de frappe. Son extension Google Chrome tente de dérober diverses informations sensibles via la capture d’entrée. |
| T1081 | Informations d'identification dans les fichiers | Mispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir de fichiers. | |
| T1214 | Identifiants dans le registre | Mispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir du registre Windows. | |
| Découverte | T1083 | Découverte de fichiers et de répertoires | Mispadu recherche différents chemins de système de fichiers afin de déterminer quelles applications sont installées sur la machine de la victime. |
| T1057 | Découverte de processus | Mispadu recherche différents noms de processus afin de déterminer quelles applications sont exécutées sur la machine de la victime. | |
| T1063 | Découverte de logiciels de sécurité | Mispadu analyse le système pour rechercher les logiciels de sécurité installés. | |
| T1082 | Découverte d'informations système | Mispadu extrait la version du système d'exploitation, le nom de l'ordinateur et l'ID de langue. | |
| Collection | T1115 | Données du presse-papier | Mispadu capture et remplace les portefeuilles bitcoin dans le presse-papiers. |
| T1113 | Capture d'écran | Mispadu contient une commande pour prendre des captures d'écran. | |
| Commander et contrôler | T1024 | Protocole cryptographique personnalisé | Mispadu utilise un protocole cryptographique personnalisé pour protéger ses données. |
| Exfiltration | T1041 | Exfiltration sur le canal de commande et de contrôle | Mispadu envoie les données collectées à son serveur C & C. |
ESET Recherche
Commentaires
Laisser un commentaire