Serveur d'impression

Mispadu: publicité pour un repas malheureux à prix réduit – Serveur d’impression

Le 29 novembre 2019 - 21 minutes de lecture

Un autre de nos séries occasionnelles démystifiant les chevaux de Troie bancaires latino-américains

Dans cet article de notre série de blogs, nous nous concentrerons sur Mispadu, ambitieux cheval de Troie bancaire latino-américain qui utilise la publicité malveillante de McDonald et étend sa surface d’attaque aux navigateurs Web.

Nous pensons que cette famille de malwares cible le grand public. Ses principaux objectifs sont le vol d’argent et de pièces d’identité. Au Brésil, nous avons assisté à la distribution d'une extension malveillante de Google Chrome qui tente de voler des données de carte de crédit et des données bancaires en ligne, et qui compromet le système de paiement Boleto.

Caractéristiques

Mispadu est une famille de logiciels malveillants, identifiée lors de notre recherche sur les chevaux de Troie bancaires en Amérique latine, qui cible le Brésil et le Mexique. Il est écrit en Delphi et attaque ses victimes en utilisant la même méthode que les familles décrites précédemment dans cette série: en affichant de fausses fenêtres contextuelles et en essayant de persuader les victimes potentielles de divulguer des informations sensibles.

Pour ses fonctionnalités de porte dérobée, Mispadu peut prendre des captures d’écran, simuler des actions de la souris et du clavier et capturer des frappes au clavier. Il peut se mettre à jour via un fichier de script Visual Basic (VBS) qu'il télécharge et exécute.

Comme les autres chevaux de Troie bancaires latino-américains, Mispadu collecte également des informations sur ses victimes, à savoir:

  • Version du système d'exploitation
  • Nom de l'ordinateur
  • ID de langue
  • si Diebold Warsaw GAS Tecnologia (une application populaire au Brésil pour protéger l'accès aux services bancaires en ligne) est installée
  • liste des applications bancaires communes installées en Amérique latine
  • liste des produits de sécurité installés

Comme dans les cas d'Amavaldo et de Casbaneiro, Mispadu peut également être identifié en utilisant un algorithme cryptographique unique et personnalisé pour masquer les chaînes dans son code. Ceci est utilisé dans tous les composants, ainsi que pour protéger ses fichiers de configuration et les communications C & C. La figure 1 illustre le code noyau implémentant cet algorithme et la pseudocode de la figure 2 pour cet algorithme.

Figure 1. Algorithme de Mispadu pour le déchiffrement des données



Figure 2. Pseudocode de l'algorithme de Mispadu pour le déchiffrement des données

L'exécutable de cheval de Troie bancaire est livré avec quatre applications potentiellement indésirables stockées dans sa section des ressources. Ces applications sont toutes des fichiers légitimes de Nirsoft, mais ont été corrigées pour s'exécuter à partir de la ligne de commande sans interface graphique. Les logiciels malveillants les utilisent pour extraire les informations d'identification stockées:

  • navigateurs (Google Chrome, Mozilla Firefox, Internet Explorer), et
  • clients de messagerie (Microsoft Outlook, Mozilla Thunderbird et Windows Live Mail, entre autres).

Mispadu surveille également le contenu du presse-papiers et tente de remplacer le portefeuille potentiel en bitcoin par le sien, comme l’a fait Casbaneiro. Cependant, en examinant le portefeuille de l’attaquant (voir Figure 3), il n’a pas été très fructueux à ce jour.

Figure 3. Portefeuille Bitcoin utilisé par l'opérateur Mispadu

Distribution

Mispadu utilise deux méthodes de distribution: le courrier indésirable (voir Figure 4) et la publicité incorrecte. Alors que la première méthode est très courante pour les chevaux de Troie bancaires latino-américains, la seconde ne l’est pas, examinons-la de plus près. La figure 5 montre le déroulement de l'attaque de Mispadu.

Figure 4. Exemples d’e-mails de spam distribuant Mispadu. Celui qui cible le Brésil (à gauche) affirme que le destinataire a été absent pendant trois tentatives de livraison de colis et qu'il devrait suivre l'URL pour obtenir un remboursement. Celui qui cible le Mexique (à droite) invite le destinataire à télécharger une facture pour éviter le «blocage» du compte.

Figure 5. Chaîne de distribution et d’exécution de Mispadu

L’acteur de la menace a placé des publicités sponsorisées (voir la figure 6 pour un exemple brésilien) sur Facebook offrant de faux coupons de réduction pour McDonald’s. En cliquant sur les publicités, la victime potentielle est dirigée vers l’une des pages Web illustrées à la figure 7. Quel que soit le système d’exploitation du visiteur, cliquer sur le bouton correspondant permet de télécharger une archive ZIP contenant un programme d’installation MSI. Parfois, ces archives contiennent également des logiciels légitimes tels que Mozilla Firefox ou PuTTY, mais ils ne sont que des leurres et ne sont pas utilisés du tout.

Les opérateurs de Mispadu ont compilé deux versions différentes du cheval de Troie bancaire en fonction du pays qu’elles attaquent. En outre, ils ont décidé d'utiliser différents installateurs et étapes ultérieures pour chaque pays attaqué. Cependant, la logique des deux chaînes est la même et nous décrivons cette forme générale ci-dessous.

Figure 6. Annonces Facebook créées par les opérateurs de Mispadu menant à de faux sites Web de coupons McDonald’s (traduction du titre de l’annonce: «Utilisez-les un jour de septembre! Coupons de l’indépendance. À vous de jouer»)

Figure 7. Pages Web malveillantes proposant de faux coupons de réduction pour McDonald’s Brazil (à gauche) et Mexique (à droite) (traduction du texte principal des deux: "Ce coupon ne peut être utilisé qu'une seule fois. Je veux / Générer un coupon")

Lorsque la victime potentielle exécute le programme d'installation MSI, une chaîne de trois scripts VBS est créée. Le premier script (déballeur) déchiffre et exécute le second script (téléchargeur) à partir de ses données internes, comme le montre la figure 8. Le téléchargeur script récupère le troisième script (chargeur) et l'exécute (voir la figure 9).

Figure 8. Script de décompresseur de la chaîne de distribution Mispadu (étape 1). Notez que la clé est calculée dans la variable w2 à la valeur 95.

Figure 9. Script du téléchargeur de la chaîne de distribution Mispadu (étape 2). Notez que la clé codée en dur est la même que dans l'étape précédente.

le chargeur Le script est plus compliqué que les deux premières étapes. C'est spécifique à la localisation; il vérifie l'identificateur de langue de la machine victime potentielle pour vérifier qu'il provient bien du pays ciblé par la campagne en cours (Brésil ou Mexique, respectivement). Il peut également détecter certains environnements virtuels. si un environnement virtuel est détecté ou si les paramètres régionaux souhaités ne sont pas trouvés, le chargeur quitte.

Sinon, le chargeur Le script continue en définissant des fichiers de configuration (décrits en détail plus loin) et en téléchargeant (i) un cheval de Troie bancaire Mispadu, (ii) un injecteur (DLL) utilisé pour l’exécuter et (iii) des DLL de support légitimes. Chaque fichier est téléchargé dans une archive ZIP distincte, comme illustré à la figure 5. Nous fournissons un pseudocode pour l'algorithme de déchiffrement de la figure 10.

Figure 10. Pseudocode de l’algorithme de déchiffrement de la charge utile de Mispadu

Les serveurs de téléchargement de Mispadu vérifient la validité des demandes qu’ils reçoivent. L'envoi d'une demande non valide entraîne une réponse d'image obscène que nous ne pouvons pas reproduire ici.

Finalement, le chargeur Le script configure la persistance en créant un lien dans le dossier de démarrage et en exécutant l'injecteur. Ceci se fait via rundll32.exe en appelant une fonction exportée de la DLL d'injecteur dont le nom provient d'un des fichiers de configuration précédemment configurés. L'injecteur localise le cheval de Troie bancaire crypté, puis le déchiffre et l'exécute.

Nous avons trouvé un répertoire ouvert sur l'un des serveurs utilisés par Mispadu et les fichiers connectés à une campagne très similaire y étaient stockés. Ces fichiers peuvent être utilisés pour créer une page Web imitant AreaVIP (un site de tabloïd au Brésil) et pour forcer une fausse mise à jour d'Adobe Flash Player sur ses victimes potentielles. Nous n'avons pas observé cette campagne dans la nature et pensons qu'il pourrait s'agir d'une configuration pour l'avenir.

Depuis que la campagne Mispadu ciblant le Brésil a utilisé le raccourcisseur d’URL Tiny.CC, nous avons pu rassembler des statistiques. Comme le montre la figure 11, cette campagne a généré près de 100 000 clics, exclusivement en provenance du Brésil. Les clics provenant d’Android résultent probablement du fait que la publicité est affichée sur Facebook, quel que soit le périphérique de l’utilisateur. Vous pouvez également constater que la campagne est récurrente: une phase s’est terminée au cours de la seconde moitié de septembre 2019 et a refait surface au début d’octobre 2019.

Figure 11. Statistiques de la campagne Mispadu Brésilien

Partage d'une pièce jointe

Les e-mails de spam et le faux site Web de McDonald’s sont intéressants sous un autre aspect: à partir duquel le faux coupon est téléchargé. Les opérateurs de Mispadu ont abusé de la plate-forme russe Yandex.Mail pour stocker leur charge utile (voir Figure 12). Le scénario le plus probable est que les opérateurs ont créé un compte sur Yandex.Mail, envoyé un e-mail avec le coupon malveillant en pièce jointe, puis indiqué à la victime potentielle un lien direct vers cette pièce jointe.

Figure 12. URL de téléchargement de l'archive contenant le programme d'installation malveillant de Mispadu MSI.

Configuration

L'utilisation de fichiers de configuration est assez rare parmi les chevaux de Troie bancaires latino-américains; Cependant, dans l'ensemble, Mispadu en utilise trois différents et ne peut fonctionner sans eux. Tous les fichiers de configuration sont soit contenus dans, soit obtenus par chargeur script décrit plus tôt.

La configuration d'exécution de Mispadu est uniquement stockée en mémoire avec les données téléchargées à partir de l'un de ses serveurs de téléchargement (serveur distant 1 sur la figure 5). Il contient trois informations cruciales:

  • une chaîne nécessaire pour créer l'URL pour télécharger l'injecteur
  • le nom du dossier où le malware sera installé
  • le nom de la fonction exportée de l'injecteur à appeler afin d'exécuter le cheval de Troie bancaire

Les données de configuration générales sont abandonnées dans C: Utilisateurs Public % NOMORDINATEUR%[1], étant nommé comme la deuxième lettre du nom de l'ordinateur de la victime (ainsi, pour un ordinateur nommé «JOHN-PC», le fichier serait nommé «O»). Il est créé à partir des données contenues dans le chargeur script et dans le fichier de configuration d’exécution, contient les informations de version, la clé cryptographique et les chemins du système de fichiers.

Les données de configuration C & C sont stockées dans un fichier au même emplacement que le précédent sous le même nom de fichier avec “_” ajouté (“O_”, pour continuer l'exemple précédent). Cela consiste en:

  • # ip # (espace réservé pour une adresse IP utilisée par le cheval de Troie bancaire pour recevoir des commandes de porte dérobée)
  • #wp[1-3]# (espaces réservés pour 3 ports associés à # ip #)
  • deux listes de 31 domaines chacune (liste principale et liste de sauvegarde)

Mispadu choisit ses domaines de C & C de sauvegarde et de sauvegarde parmi ces listes en fonction du jour du mois en cours. Il essaie ensuite d'obtenir une version mise à jour du fichier de configuration C & C à partir de ce domaine toutes les quelques heures et remplace le fichier supprimé par celui-ci. Nous pensons que l’idée principale de cette approche est de remplir les espaces réservés afin d’activer la fonctionnalité de porte dérobée.

Protégez votre Chrome

C’est une bonne idée, mais ne le faites pas avec l’extension malveillante du navigateur Google Chrome que nous avons observée et distribuée avec le cheval de Troie bancaire Mispadu au Brésil (voir la figure 13). L’extension (voir la figure 14 s’appelle «Sécurité[[sic]System 1.0 ”et prétend vous aider“ Protégez votre Chrome ”(traduction:“ Protégez votre Chrome ”). Il consiste en trois fichiers JavaScript malveillants décrits ci-dessous.

Figure 13. Partie de la chaîne de distribution de Mispadu qui change également lorsque l'extension malveillante Google Chrome est également distribuée. Le reste de la chaîne de distribution reste le même.

Figure 14. Extension Google Chrome illicite installée par Mispadu.

Composant 1: Manipulation des fenêtres

Ce composant simple n'a qu'une seule fonctionnalité: il crée une nouvelle fenêtre Google Chrome et ferme toutes les autres. Ce composant n'était pas présent dans tous les échantillons analysés et nous pensons qu'il est encore en phase de test.

Composant 2: Vol de données de carte de crédit

Le deuxième composant contient une liste codée en dur de sites Web. Dans les pages servies à partir de ces sites, il recherche tout champ de saisie contenant «texte», «email», «tel», «numéro», «mot de passe» ou «radio». Si «CVV», «CÓD SEG» ou leurs variantes se trouvent n'importe où sur le site Web, le contenu de ces champs de saisie est envoyé à l'attaquant lorsque la victime transmet les informations. Cela révèle clairement l’intention de cette partie de l’extension – le vol de données de carte de crédit.

Composante 3: Vol de données bancaires et Boleto

Le troisième composant est le plus avancé. Premièrement, en utilisant un algorithme de type DGS, il génère deux chaînes basées sur le jour du mois en cours et le numéro du mois. Ces chaînes sont ensuite utilisées pour former une URL GitHub sous la forme de https://raw.githubusercontent.com/%FIRST_STRING%/w/master/%SECOND_STRING%,
% FIRST_STRING% est un nom d'utilisateur GitHub. Les données téléchargées à partir de l'URL générée sont déchiffrées dans une URL différente que nous appellerons. URL de charge utile.

Ce composant contient également une liste codée en dur des sites Web ciblés, comme le précédent. Si la victime visite l'un de ces sites Web, un fichier JavaScript malveillant spécifique à ce site Web est obtenu à partir du URL de charge utile et chargé dynamiquement via la fonction eval de JavaScript.

En outre, cette composante tente également de compromettre l'utilisation de Boleto, un système de paiement populaire répandu au Brésil. Le système est depuis longtemps une cible attrayante pour les attaquants (vous pouvez en lire plus dans cet article à partir de 2014). Pour payer avec ce système, vous devez imprimer un ticket (boleto). Celui-ci contient principalement un numéro d’identification spécifique au compte bancaire sur lequel le paiement doit être effectué, ainsi qu’un code à barres (voir la figure 15). Le paiement est ensuite effectué en scannant le code à barres ou en saisissant manuellement le numéro d'identification.

Figure 15. Exemple de boleto (source: Wikipedia)

À l'aide d'une expression régulière, le composant malveillant tente de trouver le numéro d'identification et de le remplacer par celui de l'attaquant (obtenu de manière dynamique). De plus, il abuse d’un site Web légitime pour générer le code à barres de paiement en utilisant le numéro de compte de l’attaquant et le remplace par celui-ci. La partie du code responsable de compromettre Boleto est illustrée à la figure 16.

Figure 16. Extension Google Chrome de Mispadu qui compromet Boleto. Le code permettant d’obtenir le numéro de compte de l’attaquant est marqué en rouge, la génération de codes-barres malveillants en vert.

Différences entre les campagnes

Outre les différences déjà mentionnées et le fait évident que chaque variante du cheval de Troie bancaire Mispadu cible un ensemble différent de banques dépendant de leur pays de résidence, la campagne brésilienne diffère de la mexicaine par plusieurs autres aspects mineurs.

Il semble que les chemins du système de fichiers et les noms de fichiers où les fichiers de configuration sont stockés et que le cheval de Troie bancaire soit installé pour chaque victime soient randomisés. De plus, le chargeur le script contient une partie qui n’est pas utilisée au moment de la rédaction mais qui est prête à abuser de Windows mshta.exe d'exécuter le cheval de Troie bancaire actuel au lieu de rundll.exe.

Conclusion

Dans ce billet de blog, nous avons parlé de Mispadu, une autre famille de troyens bancaires latino-américains isolée au cours de nos recherches. Nous avons montré ses principales caractéristiques, y compris les raisons pour lesquelles nous le considérons comme un cheval de Troie bancaire en Amérique latine: écrit dans Delphi, cible le Brésil et le Mexique, utilise des fenêtres contextuelles et contient des fonctionnalités de porte dérobée.

Nous avons décrit sa chaîne de distribution la plus récente et mis l'accent sur des aspects intéressants, tels que Yandex.Mail, utilisé pour stocker les charges malveillantes et l'utilisation des publicités Facebook malveillantes. Nous avons également analysé les fichiers de configuration utilisés par Mispadu.

Enfin, nous avons parlé d’une extension malveillante de Google Chrome que Mispadu distribue au Brésil. L’objectif de cette extension est de voler des informations de carte de crédit, des informations bancaires sensibles et d’essayer de voler de l’argent à ses victimes en compromettant le système de paiement Boleto au Brésil.

Pour toute demande de renseignements, contactez-nous à l'adresse suivante :[email protected] Des indicateurs de compromis peuvent également être trouvés dans notre dépôt GitHub.

Indicateurs de compromis (IoC)

Des hachis

Campagne brésilienne

SHA-1 La description Nom de détection ESET
A4EDA0DD2C33A644FEEF170F5C24CF7595C19017 Installateur MSI VBS / TrojanDownloader.Agent.RVY
A9BADCBF3BD5C22EEB6FAF7DB8FC0A24CF18D121 Injecteur de Mispadu Win32 / Injector.EHXF
337892E76F3B2DF0CA851CCF4479E56EAF2DB8FD Cheval de Troie bancaire Mispadu (horodatage de la compilation PE 8 septembre 2019) Win32 / Spy.Mispadu.C
A8CD12CC0BBD06F14AA136EA5A9A2E299E450B18 Cheval de Troie bancaire Mispadu (horodatage de la compilation PE 2 oct. 2019) Win32 / Spy.Mispadu.C

Campagne mexicaine

SHA-1 La description Nom de détection ESET
CFE21DBFB97C2E93F099D351DE54099A3FC0C98B Installateur MSI VBS / TrojanDownloader.Agent.RVY
251AC7386D1B376FB1CB0E02BDFC45472387C7BC Injecteur de Mispadu Win32 / Injector.EHXF
A4FC4162162A02CE6FEADFE07B22465686A0EC39 Cheval de Troie bancaire Mispadu (horodatage de la compilation PE 10 Sep, 2019) Win32 / Spy.Mispadu.J
710A20230B9774B3D725539385D714B2F80A5599 Cheval de Troie bancaire Mispadu (horodatage de la compilation PE 11 Sep, 2019) Win32 / Spy.Mispadu.J

Extension Google Chrome

SHA-1 La description Nom de détection ESET
3486F6F21034A33C5425A398839DE80AC88FECA8 Composant 1 (manipuler des fenêtres) JS / Spy.Banker.DQ
1D19191FB2E9DED396B6352CBF5A6746193D05E8 Composant 2 (cartes de crédit) JS / Spy.Banker.DQ
22E6EBDFAB7C2B07FF8748AFE264737C8260E81E Composante 3 (données bancaires et Boleto) JS / Spy.Banker.DQ

Applications potentiellement indésirables pour le vol d'informations d'identification

SHA-1 La description Nom de détection ESET
63DCBE2DB9CC14564EB84D5E953F2F9F5C54ACD9 Stealer des informations d'identification du client de messagerie Win32 / PSWTool.MailPassView.E
8B950BF660AA7B5FB619E1F6E665D348BF56C86A Voleur d'informations d'identification Google Chrome Win32 / PSWTool.ChromePass.A
F6021380AD6E26038B5629189A7ADA5E0022C313 Stealer d'informations d'identification Mozilla Firefox Win32 / PSWTool.PassFox.F
76F70276EB95FFEC876010211B7198BCBC460646 Voleur d'informations d'identification Internet Explorer Win32 / PSWTool.IEPassView.NAH

Noms de fichiers

  • C: Utilisateurs Public % NOMORDINATEUR%[1]
  • C: Utilisateurs Public % NOMORDINATEUR%[1]_
  • C: Utilisateurs Public winx86, libeay32, ssleay32 .dll (DLL légitimes téléchargés par le chargeur scénario; indicateur partiel)

Serveurs utilisés

  • http: //18.219.25[.]133 / br / mp1a 1, sq, sl, ss .aj5
  • http: //3.19.223[.]147 / br / mp1a 1, sq, sl, ss .aj5
  • http: //51.75.95[.]179 / la8a 1, sq, sl, ss .ay2

URL des bons de réduction

  • Brésil
    • http: // promoscupom[.]cf /
    • http: //mcdonalds.promoscupom[.]cf / index3.html
  • Mexique
    • http: //mcdonalds.promoscupom[.]cf / index2.html

Portefeuille Bitcoin

  • 3QWffRcMw6mmwv4dCyYZsXYFq7Le9jpuWc

Techniques MITRE ATT & CK

Tactique ID prénom La description
Accès initial T1192 Lien spearphishing Dans les campagnes anti-spam de Mispadu, la victime est dirigée vers la charge utile par un lien malveillant.
Exécution T1085 Rundll32 Le cheval de Troie bancaire Mispadu est exécuté par un injecteur exécuté via rundll32.exe.
Persistance T1176 Extensions du navigateur La variante Mispadu ciblant le Brésil utilise une extension de navigateur Google Chrome.
T1060 Registre exécuter clés / dossier de démarrage Mispadu assure la persistance en créant un lien dans le dossier de démarrage.
Défense Evasion T1140 Désobfuscation / décodage de fichiers ou d'informations Mispadu utilise des fichiers de configuration encodés.
T1036 Mascarade Mispadu se fait passer pour un coupon de réduction.
T1064 Scripting Mispadu utilise VBS exclusivement dans ses chaînes de distribution.
Accès aux informations d'identification T1056 Capture d'entrée Mispadu peut exécuter un enregistreur de frappe. Son extension Google Chrome tente de dérober diverses informations sensibles via la capture d’entrée.
T1081 Informations d'identification dans les fichiers Mispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir de fichiers.
T1214 Identifiants dans le registre Mispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir du registre Windows.
Découverte T1083 Découverte de fichiers et de répertoires Mispadu recherche différents chemins de système de fichiers afin de déterminer quelles applications sont installées sur la machine de la victime.
T1057 Découverte de processus Mispadu recherche différents noms de processus afin de déterminer quelles applications sont exécutées sur la machine de la victime.
T1063 Découverte de logiciels de sécurité Mispadu analyse le système pour rechercher les logiciels de sécurité installés.
T1082 Découverte d'informations système Mispadu extrait la version du système d'exploitation, le nom de l'ordinateur et l'ID de langue.
Collection T1115 Données du presse-papier Mispadu capture et remplace les portefeuilles bitcoin dans le presse-papiers.
T1113 Capture d'écran Mispadu contient une commande pour prendre des captures d'écran.
Commander et contrôler T1024 Protocole cryptographique personnalisé Mispadu utilise un protocole cryptographique personnalisé pour protéger ses données.
Exfiltration T1041 Exfiltration sur le canal de commande et de contrôle Mispadu envoie les données collectées à son serveur C & C.


ESET Recherche

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.