Un autre de nos séries occasionnelles démystifiant les chevaux de Troie bancaires latino-américains
"},{"id":"text-2","type":"text","heading":"","plain_text":"Dans cet article de notre série de blogs, nous nous concentrerons sur Mispadu, ambitieux cheval de Troie bancaire latino-américain qui utilise la publicité malveillante de McDonald et étend sa surface d’attaque aux navigateurs Web.\nNous pensons que cette famille de malwares cible le grand public. Ses principaux objectifs sont le vol d’argent et de pièces d’identité. Au Brésil, nous avons assisté à la distribution d'une extension malveillante de Google Chrome qui tente de voler des données de carte de crédit et des données bancaires en ligne, et qui compromet le système de paiement Boleto.\nCaractéristiques\nMispadu est une famille de logiciels malveillants, identifiée lors de notre recherche sur les chevaux de Troie bancaires en Amérique latine, qui cible le Brésil et le Mexique. Il est écrit en Delphi et attaque ses victimes en utilisant la même méthode que les familles décrites précédemment dans cette série: en affichant de fausses fenêtres contextuelles et en essayant de persuader les victimes potentielles de divulguer des informations sensibles.\nPour ses fonctionnalités de porte dérobée, Mispadu peut prendre des captures d’écran, simuler des actions de la souris et du clavier et capturer des frappes au clavier. Il peut se mettre à jour via un fichier de script Visual Basic (VBS) qu'il télécharge et exécute.\nComme les autres chevaux de Troie bancaires latino-américains, Mispadu collecte également des informations sur ses victimes, à savoir:","html":"Dans cet article de notre série de blogs, nous nous concentrerons sur Mispadu, ambitieux cheval de Troie bancaire latino-américain qui utilise la publicité malveillante de McDonald et étend sa surface d’attaque aux navigateurs Web.\nNous pensons que cette famille de malwares cible le grand public. Ses principaux objectifs sont le vol d’argent et de pièces d’identité. Au Brésil, nous avons assisté à la distribution d'une extension malveillante de Google Chrome qui tente de voler des données de carte de crédit et des données bancaires en ligne, et qui compromet le système de paiement Boleto.\nCaractéristiques\nMispadu est une famille de logiciels malveillants, identifiée lors de notre recherche sur les chevaux de Troie bancaires en Amérique latine, qui cible le Brésil et le Mexique. Il est écrit en Delphi et attaque ses victimes en utilisant la même méthode que les familles décrites précédemment dans cette série: en affichant de fausses fenêtres contextuelles et en essayant de persuader les victimes potentielles de divulguer des informations sensibles.\nPour ses fonctionnalités de porte dérobée, Mispadu peut prendre des captures d’écran, simuler des actions de la souris et du clavier et capturer des frappes au clavier. Il peut se mettre à jour via un fichier de script Visual Basic (VBS) qu'il télécharge et exécute.\nComme les autres chevaux de Troie bancaires latino-américains, Mispadu collecte également des informations sur ses victimes, à savoir:
"},{"id":"text-3","type":"text","heading":"","plain_text":"Version du système d'exploitation\nNom de l'ordinateur\nID de langue\nsi Diebold Warsaw GAS Tecnologia (une application populaire au Brésil pour protéger l'accès aux services bancaires en ligne) est installée\nliste des applications bancaires communes installées en Amérique latine\nliste des produits de sécurité installés","html":"Version du système d'exploitation\nNom de l'ordinateur\nID de langue\nsi Diebold Warsaw GAS Tecnologia (une application populaire au Brésil pour protéger l'accès aux services bancaires en ligne) est installée\nliste des applications bancaires communes installées en Amérique latine\nliste des produits de sécurité installés
"},{"id":"text-4","type":"text","heading":"","plain_text":"Comme dans les cas d'Amavaldo et de Casbaneiro, Mispadu peut également être identifié en utilisant un algorithme cryptographique unique et personnalisé pour masquer les chaînes dans son code. Ceci est utilisé dans tous les composants, ainsi que pour protéger ses fichiers de configuration et les communications C & C. La figure 1 illustre le code noyau implémentant cet algorithme et la pseudocode de la figure 2 pour cet algorithme.","html":"Comme dans les cas d'Amavaldo et de Casbaneiro, Mispadu peut également être identifié en utilisant un algorithme cryptographique unique et personnalisé pour masquer les chaînes dans son code. Ceci est utilisé dans tous les composants, ainsi que pour protéger ses fichiers de configuration et les communications C & C. La figure 1 illustre le code noyau implémentant cet algorithme et la pseudocode de la figure 2 pour cet algorithme.
"},{"id":"text-5","type":"text","heading":"","plain_text":"Figure 1. Algorithme de Mispadu pour le déchiffrement des données","html":"Figure 1. Algorithme de Mispadu pour le déchiffrement des données
"},{"id":"text-6","type":"text","heading":"","plain_text":"def decrypt_string (data_enc, clé):\nseed = data_enc[0] – 0x41 # 'A'\ndata_dec = str ()\npour i dans la plage (1, len (data_enc), 2):\nb1 = (data_enc[i] – 0x41) * 25\nb2 = data_enc[i+1] – 0x41 – clé de graine\ndata_dec + = chr (b1 + b2)\nretourne data_dec","html":"def decrypt_string (data_enc, clé):\nseed = data_enc[0] – 0x41 # 'A'\ndata_dec = str ()\npour i dans la plage (1, len (data_enc), 2):\nb1 = (data_enc[i] – 0x41) * 25\nb2 = data_enc[i+1] – 0x41 – clé de graine\ndata_dec + = chr (b1 + b2)\nretourne data_dec
"},{"id":"text-7","type":"text","heading":"","plain_text":"def decrypt_string(data_enc, clé):\n\tla graine = data_enc[[0] – 0x41 # 'UNE'\n\tdata_dec = str()\n\tpour je dans intervalle(1, len(data_enc), 2):\n\t\tb1 = (data_enc[[je] – 0x41) * 25\n\t\tb2 = data_enc[[je+1] – 0x41 – la graine – clé\n\t\tdata_dec + = chr(b1 + b2)\n\trevenir data_dec","html":"def decrypt_string(data_enc, clé):\n\tla graine = data_enc[[0] – 0x41 # 'UNE'\n\tdata_dec = str()\n\tpour je dans intervalle(1, len(data_enc), 2):\n\t\tb1 = (data_enc[[je] – 0x41) * 25\n\t\tb2 = data_enc[[je+1] – 0x41 – la graine – clé\n\t\tdata_dec + = chr(b1 + b2)\n\trevenir data_dec
"},{"id":"text-8","type":"text","heading":"","plain_text":"Figure 2. Pseudocode de l'algorithme de Mispadu pour le déchiffrement des données\nL'exécutable de cheval de Troie bancaire est livré avec quatre applications potentiellement indésirables stockées dans sa section des ressources. Ces applications sont toutes des fichiers légitimes de Nirsoft, mais ont été corrigées pour s'exécuter à partir de la ligne de commande sans interface graphique. Les logiciels malveillants les utilisent pour extraire les informations d'identification stockées:","html":"Figure 2. Pseudocode de l'algorithme de Mispadu pour le déchiffrement des données\nL'exécutable de cheval de Troie bancaire est livré avec quatre applications potentiellement indésirables stockées dans sa section des ressources. Ces applications sont toutes des fichiers légitimes de Nirsoft, mais ont été corrigées pour s'exécuter à partir de la ligne de commande sans interface graphique. Les logiciels malveillants les utilisent pour extraire les informations d'identification stockées:
"},{"id":"text-9","type":"text","heading":"","plain_text":"navigateurs (Google Chrome, Mozilla Firefox, Internet Explorer), et\nclients de messagerie (Microsoft Outlook, Mozilla Thunderbird et Windows Live Mail, entre autres).","html":"navigateurs (Google Chrome, Mozilla Firefox, Internet Explorer), et\nclients de messagerie (Microsoft Outlook, Mozilla Thunderbird et Windows Live Mail, entre autres).
"},{"id":"text-10","type":"text","heading":"","plain_text":"Mispadu surveille également le contenu du presse-papiers et tente de remplacer le portefeuille potentiel en bitcoin par le sien, comme l’a fait Casbaneiro. Cependant, en examinant le portefeuille de l’attaquant (voir Figure 3), il n’a pas été très fructueux à ce jour.","html":"Mispadu surveille également le contenu du presse-papiers et tente de remplacer le portefeuille potentiel en bitcoin par le sien, comme l’a fait Casbaneiro. Cependant, en examinant le portefeuille de l’attaquant (voir Figure 3), il n’a pas été très fructueux à ce jour.
"},{"id":"text-11","type":"text","heading":"","plain_text":"Figure 3. Portefeuille Bitcoin utilisé par l'opérateur Mispadu","html":"Figure 3. Portefeuille Bitcoin utilisé par l'opérateur Mispadu
"},{"id":"text-12","type":"text","heading":"","plain_text":"Distribution\nMispadu utilise deux méthodes de distribution: le courrier indésirable (voir Figure 4) et la publicité incorrecte. Alors que la première méthode est très courante pour les chevaux de Troie bancaires latino-américains, la seconde ne l’est pas, examinons-la de plus près. La figure 5 montre le déroulement de l'attaque de Mispadu.","html":"Distribution\nMispadu utilise deux méthodes de distribution: le courrier indésirable (voir Figure 4) et la publicité incorrecte. Alors que la première méthode est très courante pour les chevaux de Troie bancaires latino-américains, la seconde ne l’est pas, examinons-la de plus près. La figure 5 montre le déroulement de l'attaque de Mispadu.
"},{"id":"text-13","type":"text","heading":"","plain_text":"Figure 4. Exemples d’e-mails de spam distribuant Mispadu. Celui qui cible le Brésil (à gauche) affirme que le destinataire a été absent pendant trois tentatives de livraison de colis et qu'il devrait suivre l'URL pour obtenir un remboursement. Celui qui cible le Mexique (à droite) invite le destinataire à télécharger une facture pour éviter le «blocage» du compte.","html":"Figure 4. Exemples d’e-mails de spam distribuant Mispadu. Celui qui cible le Brésil (à gauche) affirme que le destinataire a été absent pendant trois tentatives de livraison de colis et qu'il devrait suivre l'URL pour obtenir un remboursement. Celui qui cible le Mexique (à droite) invite le destinataire à télécharger une facture pour éviter le «blocage» du compte.
"},{"id":"text-14","type":"text","heading":"","plain_text":"Figure 5. Chaîne de distribution et d’exécution de Mispadu","html":"Figure 5. Chaîne de distribution et d’exécution de Mispadu
"},{"id":"text-15","type":"text","heading":"","plain_text":"L’acteur de la menace a placé des publicités sponsorisées (voir la figure 6 pour un exemple brésilien) sur Facebook offrant de faux coupons de réduction pour McDonald’s. En cliquant sur les publicités, la victime potentielle est dirigée vers l’une des pages Web illustrées à la figure 7. Quel que soit le système d’exploitation du visiteur, cliquer sur le bouton correspondant permet de télécharger une archive ZIP contenant un programme d’installation MSI. Parfois, ces archives contiennent également des logiciels légitimes tels que Mozilla Firefox ou PuTTY, mais ils ne sont que des leurres et ne sont pas utilisés du tout.\nLes opérateurs de Mispadu ont compilé deux versions différentes du cheval de Troie bancaire en fonction du pays qu’elles attaquent. En outre, ils ont décidé d'utiliser différents installateurs et étapes ultérieures pour chaque pays attaqué. Cependant, la logique des deux chaînes est la même et nous décrivons cette forme générale ci-dessous.","html":"L’acteur de la menace a placé des publicités sponsorisées (voir la figure 6 pour un exemple brésilien) sur Facebook offrant de faux coupons de réduction pour McDonald’s. En cliquant sur les publicités, la victime potentielle est dirigée vers l’une des pages Web illustrées à la figure 7. Quel que soit le système d’exploitation du visiteur, cliquer sur le bouton correspondant permet de télécharger une archive ZIP contenant un programme d’installation MSI. Parfois, ces archives contiennent également des logiciels légitimes tels que Mozilla Firefox ou PuTTY, mais ils ne sont que des leurres et ne sont pas utilisés du tout.\nLes opérateurs de Mispadu ont compilé deux versions différentes du cheval de Troie bancaire en fonction du pays qu’elles attaquent. En outre, ils ont décidé d'utiliser différents installateurs et étapes ultérieures pour chaque pays attaqué. Cependant, la logique des deux chaînes est la même et nous décrivons cette forme générale ci-dessous.
"},{"id":"text-16","type":"text","heading":"","plain_text":"Figure 6. Annonces Facebook créées par les opérateurs de Mispadu menant à de faux sites Web de coupons McDonald’s (traduction du titre de l’annonce: «Utilisez-les un jour de septembre! Coupons de l’indépendance. À vous de jouer»)","html":"Figure 6. Annonces Facebook créées par les opérateurs de Mispadu menant à de faux sites Web de coupons McDonald’s (traduction du titre de l’annonce: «Utilisez-les un jour de septembre! Coupons de l’indépendance. À vous de jouer»)
"},{"id":"text-17","type":"text","heading":"","plain_text":"Figure 7. Pages Web malveillantes proposant de faux coupons de réduction pour McDonald’s Brazil (à gauche) et Mexique (à droite) (traduction du texte principal des deux: "Ce coupon ne peut être utilisé qu'une seule fois. Je veux / Générer un coupon")","html":"Figure 7. Pages Web malveillantes proposant de faux coupons de réduction pour McDonald’s Brazil (à gauche) et Mexique (à droite) (traduction du texte principal des deux: "Ce coupon ne peut être utilisé qu'une seule fois. Je veux / Générer un coupon")
"},{"id":"text-18","type":"text","heading":"","plain_text":"Lorsque la victime potentielle exécute le programme d'installation MSI, une chaîne de trois scripts VBS est créée. Le premier script (déballeur) déchiffre et exécute le second script (téléchargeur) à partir de ses données internes, comme le montre la figure 8. Le téléchargeur script récupère le troisième script (chargeur) et l'exécute (voir la figure 9).","html":"Lorsque la victime potentielle exécute le programme d'installation MSI, une chaîne de trois scripts VBS est créée. Le premier script (déballeur) déchiffre et exécute le second script (téléchargeur) à partir de ses données internes, comme le montre la figure 8. Le téléchargeur script récupère le troisième script (chargeur) et l'exécute (voir la figure 9).
"},{"id":"text-19","type":"text","heading":"","plain_text":"Figure 8. Script de décompresseur de la chaîne de distribution Mispadu (étape 1). Notez que la clé est calculée dans la variable w2 à la valeur 95.","html":"Figure 8. Script de décompresseur de la chaîne de distribution Mispadu (étape 1). Notez que la clé est calculée dans la variable w2 à la valeur 95.
"},{"id":"text-20","type":"text","heading":"","plain_text":"Figure 9. Script du téléchargeur de la chaîne de distribution Mispadu (étape 2). Notez que la clé codée en dur est la même que dans l'étape précédente.","html":"Figure 9. Script du téléchargeur de la chaîne de distribution Mispadu (étape 2). Notez que la clé codée en dur est la même que dans l'étape précédente.
"},{"id":"text-21","type":"text","heading":"","plain_text":"le chargeur Le script est plus compliqué que les deux premières étapes. C'est spécifique à la localisation; il vérifie l'identificateur de langue de la machine victime potentielle pour vérifier qu'il provient bien du pays ciblé par la campagne en cours (Brésil ou Mexique, respectivement). Il peut également détecter certains environnements virtuels. si un environnement virtuel est détecté ou si les paramètres régionaux souhaités ne sont pas trouvés, le chargeur quitte.\nSinon, le chargeur Le script continue en définissant des fichiers de configuration (décrits en détail plus loin) et en téléchargeant (i) un cheval de Troie bancaire Mispadu, (ii) un injecteur (DLL) utilisé pour l’exécuter et (iii) des DLL de support légitimes. Chaque fichier est téléchargé dans une archive ZIP distincte, comme illustré à la figure 5. Nous fournissons un pseudocode pour l'algorithme de déchiffrement de la figure 10.","html":"le chargeur Le script est plus compliqué que les deux premières étapes. C'est spécifique à la localisation; il vérifie l'identificateur de langue de la machine victime potentielle pour vérifier qu'il provient bien du pays ciblé par la campagne en cours (Brésil ou Mexique, respectivement). Il peut également détecter certains environnements virtuels. si un environnement virtuel est détecté ou si les paramètres régionaux souhaités ne sont pas trouvés, le chargeur quitte.\nSinon, le chargeur Le script continue en définissant des fichiers de configuration (décrits en détail plus loin) et en téléchargeant (i) un cheval de Troie bancaire Mispadu, (ii) un injecteur (DLL) utilisé pour l’exécuter et (iii) des DLL de support légitimes. Chaque fichier est téléchargé dans une archive ZIP distincte, comme illustré à la figure 5. Nous fournissons un pseudocode pour l'algorithme de déchiffrement de la figure 10.
"},{"id":"text-22","type":"text","heading":"","plain_text":"def decrypt_payload (data_enc):\nclé = data_enc[0]\n\tdata_dec = str ()\npour i dans la plage (1, len (data_enc)):\ndata_dec + = chr (data_enc[i] – ((clé + i – 1)% 10))\nretourne data_dec","html":"def decrypt_payload (data_enc):\nclé = data_enc[0]\n\tdata_dec = str ()\npour i dans la plage (1, len (data_enc)):\ndata_dec + = chr (data_enc[i] – ((clé + i – 1)% 10))\nretourne data_dec
"},{"id":"text-23","type":"text","heading":"","plain_text":"def decrypt_payload(data_enc):\n\tclé = data_enc[[0]\n\tdata_dec = str()\n\tpour je dans intervalle(1, len(data_enc)):\n\t\tdata_dec + = chr(data_enc[[je] – ((clé + je – 1) % dix))\n\trevenir data_dec","html":"def decrypt_payload(data_enc):\n\tclé = data_enc[[0]\n\tdata_dec = str()\n\tpour je dans intervalle(1, len(data_enc)):\n\t\tdata_dec + = chr(data_enc[[je] – ((clé + je – 1) % dix))\n\trevenir data_dec
"},{"id":"text-24","type":"text","heading":"","plain_text":"Figure 10. Pseudocode de l’algorithme de déchiffrement de la charge utile de Mispadu\nLes serveurs de téléchargement de Mispadu vérifient la validité des demandes qu’ils reçoivent. L'envoi d'une demande non valide entraîne une réponse d'image obscène que nous ne pouvons pas reproduire ici.\nFinalement, le chargeur Le script configure la persistance en créant un lien dans le dossier de démarrage et en exécutant l'injecteur. Ceci se fait via rundll32.exe en appelant une fonction exportée de la DLL d'injecteur dont le nom provient d'un des fichiers de configuration précédemment configurés. L'injecteur localise le cheval de Troie bancaire crypté, puis le déchiffre et l'exécute.\nNous avons trouvé un répertoire ouvert sur l'un des serveurs utilisés par Mispadu et les fichiers connectés à une campagne très similaire y étaient stockés. Ces fichiers peuvent être utilisés pour créer une page Web imitant AreaVIP (un site de tabloïd au Brésil) et pour forcer une fausse mise à jour d'Adobe Flash Player sur ses victimes potentielles. Nous n'avons pas observé cette campagne dans la nature et pensons qu'il pourrait s'agir d'une configuration pour l'avenir.\nDepuis que la campagne Mispadu ciblant le Brésil a utilisé le raccourcisseur d’URL Tiny.CC, nous avons pu rassembler des statistiques. Comme le montre la figure 11, cette campagne a généré près de 100 000 clics, exclusivement en provenance du Brésil. Les clics provenant d’Android résultent probablement du fait que la publicité est affichée sur Facebook, quel que soit le périphérique de l’utilisateur. Vous pouvez également constater que la campagne est récurrente: une phase s’est terminée au cours de la seconde moitié de septembre 2019 et a refait surface au début d’octobre 2019.","html":"Figure 10. Pseudocode de l’algorithme de déchiffrement de la charge utile de Mispadu\nLes serveurs de téléchargement de Mispadu vérifient la validité des demandes qu’ils reçoivent. L'envoi d'une demande non valide entraîne une réponse d'image obscène que nous ne pouvons pas reproduire ici.\nFinalement, le chargeur Le script configure la persistance en créant un lien dans le dossier de démarrage et en exécutant l'injecteur. Ceci se fait via rundll32.exe en appelant une fonction exportée de la DLL d'injecteur dont le nom provient d'un des fichiers de configuration précédemment configurés. L'injecteur localise le cheval de Troie bancaire crypté, puis le déchiffre et l'exécute.\nNous avons trouvé un répertoire ouvert sur l'un des serveurs utilisés par Mispadu et les fichiers connectés à une campagne très similaire y étaient stockés. Ces fichiers peuvent être utilisés pour créer une page Web imitant AreaVIP (un site de tabloïd au Brésil) et pour forcer une fausse mise à jour d'Adobe Flash Player sur ses victimes potentielles. Nous n'avons pas observé cette campagne dans la nature et pensons qu'il pourrait s'agir d'une configuration pour l'avenir.\nDepuis que la campagne Mispadu ciblant le Brésil a utilisé le raccourcisseur d’URL Tiny.CC, nous avons pu rassembler des statistiques. Comme le montre la figure 11, cette campagne a généré près de 100 000 clics, exclusivement en provenance du Brésil. Les clics provenant d’Android résultent probablement du fait que la publicité est affichée sur Facebook, quel que soit le périphérique de l’utilisateur. Vous pouvez également constater que la campagne est récurrente: une phase s’est terminée au cours de la seconde moitié de septembre 2019 et a refait surface au début d’octobre 2019.
"},{"id":"text-25","type":"text","heading":"","plain_text":"Figure 11. Statistiques de la campagne Mispadu Brésilien","html":"Figure 11. Statistiques de la campagne Mispadu Brésilien
"},{"id":"text-26","type":"text","heading":"","plain_text":"Partage d'une pièce jointe\nLes e-mails de spam et le faux site Web de McDonald’s sont intéressants sous un autre aspect: à partir duquel le faux coupon est téléchargé. Les opérateurs de Mispadu ont abusé de la plate-forme russe Yandex.Mail pour stocker leur charge utile (voir Figure 12). Le scénario le plus probable est que les opérateurs ont créé un compte sur Yandex.Mail, envoyé un e-mail avec le coupon malveillant en pièce jointe, puis indiqué à la victime potentielle un lien direct vers cette pièce jointe.","html":"Partage d'une pièce jointe\nLes e-mails de spam et le faux site Web de McDonald’s sont intéressants sous un autre aspect: à partir duquel le faux coupon est téléchargé. Les opérateurs de Mispadu ont abusé de la plate-forme russe Yandex.Mail pour stocker leur charge utile (voir Figure 12). Le scénario le plus probable est que les opérateurs ont créé un compte sur Yandex.Mail, envoyé un e-mail avec le coupon malveillant en pièce jointe, puis indiqué à la victime potentielle un lien direct vers cette pièce jointe.
"},{"id":"text-27","type":"text","heading":"","plain_text":"Figure 12. URL de téléchargement de l'archive contenant le programme d'installation malveillant de Mispadu MSI.","html":"Figure 12. URL de téléchargement de l'archive contenant le programme d'installation malveillant de Mispadu MSI.
"},{"id":"text-28","type":"text","heading":"","plain_text":"Configuration\nL'utilisation de fichiers de configuration est assez rare parmi les chevaux de Troie bancaires latino-américains; Cependant, dans l'ensemble, Mispadu en utilise trois différents et ne peut fonctionner sans eux. Tous les fichiers de configuration sont soit contenus dans, soit obtenus par chargeur script décrit plus tôt.\nLa configuration d'exécution de Mispadu est uniquement stockée en mémoire avec les données téléchargées à partir de l'un de ses serveurs de téléchargement (serveur distant 1 sur la figure 5). Il contient trois informations cruciales:","html":"Configuration\nL'utilisation de fichiers de configuration est assez rare parmi les chevaux de Troie bancaires latino-américains; Cependant, dans l'ensemble, Mispadu en utilise trois différents et ne peut fonctionner sans eux. Tous les fichiers de configuration sont soit contenus dans, soit obtenus par chargeur script décrit plus tôt.\nLa configuration d'exécution de Mispadu est uniquement stockée en mémoire avec les données téléchargées à partir de l'un de ses serveurs de téléchargement (serveur distant 1 sur la figure 5). Il contient trois informations cruciales:
"},{"id":"text-29","type":"text","heading":"","plain_text":"une chaîne nécessaire pour créer l'URL pour télécharger l'injecteur\nle nom du dossier où le malware sera installé\nle nom de la fonction exportée de l'injecteur à appeler afin d'exécuter le cheval de Troie bancaire","html":"une chaîne nécessaire pour créer l'URL pour télécharger l'injecteur\nle nom du dossier où le malware sera installé\nle nom de la fonction exportée de l'injecteur à appeler afin d'exécuter le cheval de Troie bancaire
"},{"id":"text-30","type":"text","heading":"","plain_text":"Les données de configuration générales sont abandonnées dans C: Utilisateurs Public % NOMORDINATEUR%[1], étant nommé comme la deuxième lettre du nom de l'ordinateur de la victime (ainsi, pour un ordinateur nommé «JOHN-PC», le fichier serait nommé «O»). Il est créé à partir des données contenues dans le chargeur script et dans le fichier de configuration d’exécution, contient les informations de version, la clé cryptographique et les chemins du système de fichiers.\nLes données de configuration C & C sont stockées dans un fichier au même emplacement que le précédent sous le même nom de fichier avec “_” ajouté (“O_”, pour continuer l'exemple précédent). Cela consiste en:","html":"Les données de configuration générales sont abandonnées dans C: Utilisateurs Public % NOMORDINATEUR%[1], étant nommé comme la deuxième lettre du nom de l'ordinateur de la victime (ainsi, pour un ordinateur nommé «JOHN-PC», le fichier serait nommé «O»). Il est créé à partir des données contenues dans le chargeur script et dans le fichier de configuration d’exécution, contient les informations de version, la clé cryptographique et les chemins du système de fichiers.\nLes données de configuration C & C sont stockées dans un fichier au même emplacement que le précédent sous le même nom de fichier avec “_” ajouté (“O_”, pour continuer l'exemple précédent). Cela consiste en:
"},{"id":"text-31","type":"text","heading":"","plain_text":"# ip # (espace réservé pour une adresse IP utilisée par le cheval de Troie bancaire pour recevoir des commandes de porte dérobée)\n#wp[1-3]# (espaces réservés pour 3 ports associés à # ip #)\ndeux listes de 31 domaines chacune (liste principale et liste de sauvegarde)","html":"# ip # (espace réservé pour une adresse IP utilisée par le cheval de Troie bancaire pour recevoir des commandes de porte dérobée)\n#wp[1-3]# (espaces réservés pour 3 ports associés à # ip #)\ndeux listes de 31 domaines chacune (liste principale et liste de sauvegarde)
"},{"id":"text-32","type":"text","heading":"","plain_text":"Mispadu choisit ses domaines de C & C de sauvegarde et de sauvegarde parmi ces listes en fonction du jour du mois en cours. Il essaie ensuite d'obtenir une version mise à jour du fichier de configuration C & C à partir de ce domaine toutes les quelques heures et remplace le fichier supprimé par celui-ci. Nous pensons que l’idée principale de cette approche est de remplir les espaces réservés afin d’activer la fonctionnalité de porte dérobée.\nProtégez votre Chrome\nC’est une bonne idée, mais ne le faites pas avec l’extension malveillante du navigateur Google Chrome que nous avons observée et distribuée avec le cheval de Troie bancaire Mispadu au Brésil (voir la figure 13). L’extension (voir la figure 14 s’appelle «Sécurité[[sic]System 1.0 ”et prétend vous aider“ Protégez votre Chrome ”(traduction:“ Protégez votre Chrome ”). Il consiste en trois fichiers JavaScript malveillants décrits ci-dessous.","html":"Mispadu choisit ses domaines de C & C de sauvegarde et de sauvegarde parmi ces listes en fonction du jour du mois en cours. Il essaie ensuite d'obtenir une version mise à jour du fichier de configuration C & C à partir de ce domaine toutes les quelques heures et remplace le fichier supprimé par celui-ci. Nous pensons que l’idée principale de cette approche est de remplir les espaces réservés afin d’activer la fonctionnalité de porte dérobée.\nProtégez votre Chrome\nC’est une bonne idée, mais ne le faites pas avec l’extension malveillante du navigateur Google Chrome que nous avons observée et distribuée avec le cheval de Troie bancaire Mispadu au Brésil (voir la figure 13). L’extension (voir la figure 14 s’appelle «Sécurité[[sic]System 1.0 ”et prétend vous aider“ Protégez votre Chrome ”(traduction:“ Protégez votre Chrome ”). Il consiste en trois fichiers JavaScript malveillants décrits ci-dessous.
"},{"id":"text-33","type":"text","heading":"","plain_text":"Figure 13. Partie de la chaîne de distribution de Mispadu qui change également lorsque l'extension malveillante Google Chrome est également distribuée. Le reste de la chaîne de distribution reste le même.","html":"Figure 13. Partie de la chaîne de distribution de Mispadu qui change également lorsque l'extension malveillante Google Chrome est également distribuée. Le reste de la chaîne de distribution reste le même.
"},{"id":"text-34","type":"text","heading":"","plain_text":"Figure 14. Extension Google Chrome illicite installée par Mispadu.","html":"Figure 14. Extension Google Chrome illicite installée par Mispadu.
"},{"id":"text-35","type":"text","heading":"","plain_text":"Composant 1: Manipulation des fenêtres\nCe composant simple n'a qu'une seule fonctionnalité: il crée une nouvelle fenêtre Google Chrome et ferme toutes les autres. Ce composant n'était pas présent dans tous les échantillons analysés et nous pensons qu'il est encore en phase de test.\nComposant 2: Vol de données de carte de crédit\nLe deuxième composant contient une liste codée en dur de sites Web. Dans les pages servies à partir de ces sites, il recherche tout champ de saisie contenant «texte», «email», «tel», «numéro», «mot de passe» ou «radio». Si «CVV», «CÓD SEG» ou leurs variantes se trouvent n'importe où sur le site Web, le contenu de ces champs de saisie est envoyé à l'attaquant lorsque la victime transmet les informations. Cela révèle clairement l’intention de cette partie de l’extension – le vol de données de carte de crédit.\nComposante 3: Vol de données bancaires et Boleto\nLe troisième composant est le plus avancé. Premièrement, en utilisant un algorithme de type DGS, il génère deux chaînes basées sur le jour du mois en cours et le numéro du mois. Ces chaînes sont ensuite utilisées pour former une URL GitHub sous la forme de https://raw.githubusercontent.com/%FIRST_STRING%/w/master/%SECOND_STRING%,où % FIRST_STRING% est un nom d'utilisateur GitHub. Les données téléchargées à partir de l'URL générée sont déchiffrées dans une URL différente que nous appellerons. URL de charge utile.\nCe composant contient également une liste codée en dur des sites Web ciblés, comme le précédent. Si la victime visite l'un de ces sites Web, un fichier JavaScript malveillant spécifique à ce site Web est obtenu à partir du URL de charge utile et chargé dynamiquement via la fonction eval de JavaScript.\nEn outre, cette composante tente également de compromettre l'utilisation de Boleto, un système de paiement populaire répandu au Brésil. Le système est depuis longtemps une cible attrayante pour les attaquants (vous pouvez en lire plus dans cet article à partir de 2014). Pour payer avec ce système, vous devez imprimer un ticket (boleto). Celui-ci contient principalement un numéro d’identification spécifique au compte bancaire sur lequel le paiement doit être effectué, ainsi qu’un code à barres (voir la figure 15). Le paiement est ensuite effectué en scannant le code à barres ou en saisissant manuellement le numéro d'identification.","html":"Composant 1: Manipulation des fenêtres\nCe composant simple n'a qu'une seule fonctionnalité: il crée une nouvelle fenêtre Google Chrome et ferme toutes les autres. Ce composant n'était pas présent dans tous les échantillons analysés et nous pensons qu'il est encore en phase de test.\nComposant 2: Vol de données de carte de crédit\nLe deuxième composant contient une liste codée en dur de sites Web. Dans les pages servies à partir de ces sites, il recherche tout champ de saisie contenant «texte», «email», «tel», «numéro», «mot de passe» ou «radio». Si «CVV», «CÓD SEG» ou leurs variantes se trouvent n'importe où sur le site Web, le contenu de ces champs de saisie est envoyé à l'attaquant lorsque la victime transmet les informations. Cela révèle clairement l’intention de cette partie de l’extension – le vol de données de carte de crédit.\nComposante 3: Vol de données bancaires et Boleto\nLe troisième composant est le plus avancé. Premièrement, en utilisant un algorithme de type DGS, il génère deux chaînes basées sur le jour du mois en cours et le numéro du mois. Ces chaînes sont ensuite utilisées pour former une URL GitHub sous la forme de https://raw.githubusercontent.com/%FIRST_STRING%/w/master/%SECOND_STRING%,où % FIRST_STRING% est un nom d'utilisateur GitHub. Les données téléchargées à partir de l'URL générée sont déchiffrées dans une URL différente que nous appellerons. URL de charge utile.\nCe composant contient également une liste codée en dur des sites Web ciblés, comme le précédent. Si la victime visite l'un de ces sites Web, un fichier JavaScript malveillant spécifique à ce site Web est obtenu à partir du URL de charge utile et chargé dynamiquement via la fonction eval de JavaScript.\nEn outre, cette composante tente également de compromettre l'utilisation de Boleto, un système de paiement populaire répandu au Brésil. Le système est depuis longtemps une cible attrayante pour les attaquants (vous pouvez en lire plus dans cet article à partir de 2014). Pour payer avec ce système, vous devez imprimer un ticket (boleto). Celui-ci contient principalement un numéro d’identification spécifique au compte bancaire sur lequel le paiement doit être effectué, ainsi qu’un code à barres (voir la figure 15). Le paiement est ensuite effectué en scannant le code à barres ou en saisissant manuellement le numéro d'identification.
"},{"id":"text-36","type":"text","heading":"","plain_text":"Figure 15. Exemple de boleto (source: Wikipedia)","html":"Figure 15. Exemple de boleto (source: Wikipedia)
"},{"id":"text-37","type":"text","heading":"","plain_text":"À l'aide d'une expression régulière, le composant malveillant tente de trouver le numéro d'identification et de le remplacer par celui de l'attaquant (obtenu de manière dynamique). De plus, il abuse d’un site Web légitime pour générer le code à barres de paiement en utilisant le numéro de compte de l’attaquant et le remplace par celui-ci. La partie du code responsable de compromettre Boleto est illustrée à la figure 16.","html":"À l'aide d'une expression régulière, le composant malveillant tente de trouver le numéro d'identification et de le remplacer par celui de l'attaquant (obtenu de manière dynamique). De plus, il abuse d’un site Web légitime pour générer le code à barres de paiement en utilisant le numéro de compte de l’attaquant et le remplace par celui-ci. La partie du code responsable de compromettre Boleto est illustrée à la figure 16.
"},{"id":"text-38","type":"text","heading":"","plain_text":"Figure 16. Extension Google Chrome de Mispadu qui compromet Boleto. Le code permettant d’obtenir le numéro de compte de l’attaquant est marqué en rouge, la génération de codes-barres malveillants en vert.","html":"Figure 16. Extension Google Chrome de Mispadu qui compromet Boleto. Le code permettant d’obtenir le numéro de compte de l’attaquant est marqué en rouge, la génération de codes-barres malveillants en vert.
"},{"id":"text-39","type":"text","heading":"","plain_text":"Différences entre les campagnes\nOutre les différences déjà mentionnées et le fait évident que chaque variante du cheval de Troie bancaire Mispadu cible un ensemble différent de banques dépendant de leur pays de résidence, la campagne brésilienne diffère de la mexicaine par plusieurs autres aspects mineurs.\nIl semble que les chemins du système de fichiers et les noms de fichiers où les fichiers de configuration sont stockés et que le cheval de Troie bancaire soit installé pour chaque victime soient randomisés. De plus, le chargeur le script contient une partie qui n’est pas utilisée au moment de la rédaction mais qui est prête à abuser de Windows mshta.exe d'exécuter le cheval de Troie bancaire actuel au lieu de rundll.exe.\nConclusion\nDans ce billet de blog, nous avons parlé de Mispadu, une autre famille de troyens bancaires latino-américains isolée au cours de nos recherches. Nous avons montré ses principales caractéristiques, y compris les raisons pour lesquelles nous le considérons comme un cheval de Troie bancaire en Amérique latine: écrit dans Delphi, cible le Brésil et le Mexique, utilise des fenêtres contextuelles et contient des fonctionnalités de porte dérobée.\nNous avons décrit sa chaîne de distribution la plus récente et mis l'accent sur des aspects intéressants, tels que Yandex.Mail, utilisé pour stocker les charges malveillantes et l'utilisation des publicités Facebook malveillantes. Nous avons également analysé les fichiers de configuration utilisés par Mispadu.\nEnfin, nous avons parlé d’une extension malveillante de Google Chrome que Mispadu distribue au Brésil. L’objectif de cette extension est de voler des informations de carte de crédit, des informations bancaires sensibles et d’essayer de voler de l’argent à ses victimes en compromettant le système de paiement Boleto au Brésil.\nPour toute demande de renseignements, contactez-nous à l'adresse suivante :urtintel@eset.com. Des indicateurs de compromis peuvent également être trouvés dans notre dépôt GitHub.\nIndicateurs de compromis (IoC)\nDes hachis\nCampagne brésilienne","html":"Différences entre les campagnes\nOutre les différences déjà mentionnées et le fait évident que chaque variante du cheval de Troie bancaire Mispadu cible un ensemble différent de banques dépendant de leur pays de résidence, la campagne brésilienne diffère de la mexicaine par plusieurs autres aspects mineurs.\nIl semble que les chemins du système de fichiers et les noms de fichiers où les fichiers de configuration sont stockés et que le cheval de Troie bancaire soit installé pour chaque victime soient randomisés. De plus, le chargeur le script contient une partie qui n’est pas utilisée au moment de la rédaction mais qui est prête à abuser de Windows mshta.exe d'exécuter le cheval de Troie bancaire actuel au lieu de rundll.exe.\nConclusion\nDans ce billet de blog, nous avons parlé de Mispadu, une autre famille de troyens bancaires latino-américains isolée au cours de nos recherches. Nous avons montré ses principales caractéristiques, y compris les raisons pour lesquelles nous le considérons comme un cheval de Troie bancaire en Amérique latine: écrit dans Delphi, cible le Brésil et le Mexique, utilise des fenêtres contextuelles et contient des fonctionnalités de porte dérobée.\nNous avons décrit sa chaîne de distribution la plus récente et mis l'accent sur des aspects intéressants, tels que Yandex.Mail, utilisé pour stocker les charges malveillantes et l'utilisation des publicités Facebook malveillantes. Nous avons également analysé les fichiers de configuration utilisés par Mispadu.\nEnfin, nous avons parlé d’une extension malveillante de Google Chrome que Mispadu distribue au Brésil. L’objectif de cette extension est de voler des informations de carte de crédit, des informations bancaires sensibles et d’essayer de voler de l’argent à ses victimes en compromettant le système de paiement Boleto au Brésil.\nPour toute demande de renseignements, contactez-nous à l'adresse suivante :urtintel@eset.com. Des indicateurs de compromis peuvent également être trouvés dans notre dépôt GitHub.\nIndicateurs de compromis (IoC)\nDes hachis\nCampagne brésilienne
"},{"id":"text-40","type":"text","heading":"","plain_text":"SHA-1\nLa description\nNom de détection ESET","html":"SHA-1\nLa description\nNom de détection ESET
"},{"id":"text-41","type":"text","heading":"","plain_text":"A4EDA0DD2C33A644FEEF170F5C24CF7595C19017\nInstallateur MSI\nVBS / TrojanDownloader.Agent.RVY","html":"A4EDA0DD2C33A644FEEF170F5C24CF7595C19017\nInstallateur MSI\nVBS / TrojanDownloader.Agent.RVY
"},{"id":"text-42","type":"text","heading":"","plain_text":"A9BADCBF3BD5C22EEB6FAF7DB8FC0A24CF18D121\nInjecteur de Mispadu\nWin32 / Injector.EHXF","html":"A9BADCBF3BD5C22EEB6FAF7DB8FC0A24CF18D121\nInjecteur de Mispadu\nWin32 / Injector.EHXF
"},{"id":"text-43","type":"text","heading":"","plain_text":"337892E76F3B2DF0CA851CCF4479E56EAF2DB8FD\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 8 septembre 2019)\nWin32 / Spy.Mispadu.C","html":"337892E76F3B2DF0CA851CCF4479E56EAF2DB8FD\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 8 septembre 2019)\nWin32 / Spy.Mispadu.C
"},{"id":"text-44","type":"text","heading":"","plain_text":"A8CD12CC0BBD06F14AA136EA5A9A2E299E450B18\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 2 oct. 2019)\nWin32 / Spy.Mispadu.C","html":"A8CD12CC0BBD06F14AA136EA5A9A2E299E450B18\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 2 oct. 2019)\nWin32 / Spy.Mispadu.C
"},{"id":"text-45","type":"text","heading":"","plain_text":"Campagne mexicaine","html":"Campagne mexicaine
"},{"id":"text-46","type":"text","heading":"","plain_text":"SHA-1\nLa description\nNom de détection ESET","html":"SHA-1\nLa description\nNom de détection ESET
"},{"id":"text-47","type":"text","heading":"","plain_text":"CFE21DBFB97C2E93F099D351DE54099A3FC0C98B\nInstallateur MSI\nVBS / TrojanDownloader.Agent.RVY","html":"CFE21DBFB97C2E93F099D351DE54099A3FC0C98B\nInstallateur MSI\nVBS / TrojanDownloader.Agent.RVY
"},{"id":"text-48","type":"text","heading":"","plain_text":"251AC7386D1B376FB1CB0E02BDFC45472387C7BC\nInjecteur de Mispadu\nWin32 / Injector.EHXF","html":"251AC7386D1B376FB1CB0E02BDFC45472387C7BC\nInjecteur de Mispadu\nWin32 / Injector.EHXF
"},{"id":"text-49","type":"text","heading":"","plain_text":"A4FC4162162A02CE6FEADFE07B22465686A0EC39\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 10 Sep, 2019)\nWin32 / Spy.Mispadu.J","html":"A4FC4162162A02CE6FEADFE07B22465686A0EC39\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 10 Sep, 2019)\nWin32 / Spy.Mispadu.J
"},{"id":"text-50","type":"text","heading":"","plain_text":"710A20230B9774B3D725539385D714B2F80A5599\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 11 Sep, 2019)\nWin32 / Spy.Mispadu.J","html":"710A20230B9774B3D725539385D714B2F80A5599\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 11 Sep, 2019)\nWin32 / Spy.Mispadu.J
"},{"id":"text-51","type":"text","heading":"","plain_text":"Extension Google Chrome","html":"Extension Google Chrome
"},{"id":"text-52","type":"text","heading":"","plain_text":"SHA-1\nLa description\nNom de détection ESET","html":"SHA-1\nLa description\nNom de détection ESET
"},{"id":"text-53","type":"text","heading":"","plain_text":"3486F6F21034A33C5425A398839DE80AC88FECA8\nComposant 1 (manipuler des fenêtres)\nJS / Spy.Banker.DQ","html":"3486F6F21034A33C5425A398839DE80AC88FECA8\nComposant 1 (manipuler des fenêtres)\nJS / Spy.Banker.DQ
"},{"id":"text-54","type":"text","heading":"","plain_text":"1D19191FB2E9DED396B6352CBF5A6746193D05E8\nComposant 2 (cartes de crédit)\nJS / Spy.Banker.DQ","html":"1D19191FB2E9DED396B6352CBF5A6746193D05E8\nComposant 2 (cartes de crédit)\nJS / Spy.Banker.DQ
"},{"id":"text-55","type":"text","heading":"","plain_text":"22E6EBDFAB7C2B07FF8748AFE264737C8260E81E\nComposante 3 (données bancaires et Boleto)\nJS / Spy.Banker.DQ","html":"22E6EBDFAB7C2B07FF8748AFE264737C8260E81E\nComposante 3 (données bancaires et Boleto)\nJS / Spy.Banker.DQ
"},{"id":"text-56","type":"text","heading":"","plain_text":"Applications potentiellement indésirables pour le vol d'informations d'identification","html":"Applications potentiellement indésirables pour le vol d'informations d'identification
"},{"id":"text-57","type":"text","heading":"","plain_text":"SHA-1\nLa description\nNom de détection ESET","html":"SHA-1\nLa description\nNom de détection ESET
"},{"id":"text-58","type":"text","heading":"","plain_text":"63DCBE2DB9CC14564EB84D5E953F2F9F5C54ACD9\nStealer des informations d'identification du client de messagerie\nWin32 / PSWTool.MailPassView.E","html":"63DCBE2DB9CC14564EB84D5E953F2F9F5C54ACD9\nStealer des informations d'identification du client de messagerie\nWin32 / PSWTool.MailPassView.E
"},{"id":"text-59","type":"text","heading":"","plain_text":"8B950BF660AA7B5FB619E1F6E665D348BF56C86A\nVoleur d'informations d'identification Google Chrome\nWin32 / PSWTool.ChromePass.A","html":"8B950BF660AA7B5FB619E1F6E665D348BF56C86A\nVoleur d'informations d'identification Google Chrome\nWin32 / PSWTool.ChromePass.A
"},{"id":"text-60","type":"text","heading":"","plain_text":"F6021380AD6E26038B5629189A7ADA5E0022C313\nStealer d'informations d'identification Mozilla Firefox\nWin32 / PSWTool.PassFox.F","html":"F6021380AD6E26038B5629189A7ADA5E0022C313\nStealer d'informations d'identification Mozilla Firefox\nWin32 / PSWTool.PassFox.F
"},{"id":"text-61","type":"text","heading":"","plain_text":"76F70276EB95FFEC876010211B7198BCBC460646\nVoleur d'informations d'identification Internet Explorer\nWin32 / PSWTool.IEPassView.NAH","html":"76F70276EB95FFEC876010211B7198BCBC460646\nVoleur d'informations d'identification Internet Explorer\nWin32 / PSWTool.IEPassView.NAH
"},{"id":"text-62","type":"text","heading":"","plain_text":"Noms de fichiers","html":"Noms de fichiers
"},{"id":"text-63","type":"text","heading":"","plain_text":"C: Utilisateurs Public % NOMORDINATEUR%[1]\nC: Utilisateurs Public % NOMORDINATEUR%[1]_\nC: Utilisateurs Public winx86, libeay32, ssleay32 .dll (DLL légitimes téléchargés par le chargeur scénario; indicateur partiel)","html":"C: Utilisateurs Public % NOMORDINATEUR%[1]\nC: Utilisateurs Public % NOMORDINATEUR%[1]_\nC: Utilisateurs Public winx86, libeay32, ssleay32 .dll (DLL légitimes téléchargés par le chargeur scénario; indicateur partiel)
"},{"id":"text-64","type":"text","heading":"","plain_text":"Serveurs utilisés","html":"Serveurs utilisés
"},{"id":"text-65","type":"text","heading":"","plain_text":"http: //18.219.25[.]133 / br / mp1a 1, sq, sl, ss .aj5\nhttp: //3.19.223[.]147 / br / mp1a 1, sq, sl, ss .aj5\nhttp: //51.75.95[.]179 / la8a 1, sq, sl, ss .ay2","html":"http: //18.219.25[.]133 / br / mp1a 1, sq, sl, ss .aj5\nhttp: //3.19.223[.]147 / br / mp1a 1, sq, sl, ss .aj5\nhttp: //51.75.95[.]179 / la8a 1, sq, sl, ss .ay2
"},{"id":"text-66","type":"text","heading":"","plain_text":"URL des bons de réduction","html":"URL des bons de réduction
"},{"id":"text-67","type":"text","heading":"","plain_text":"Brésil","html":"Brésil
"},{"id":"text-68","type":"text","heading":"","plain_text":"http: // promoscupom[.]cf /\nhttp: //mcdonalds.promoscupom[.]cf / index3.html","html":"http: // promoscupom[.]cf /\nhttp: //mcdonalds.promoscupom[.]cf / index3.html
"},{"id":"text-69","type":"text","heading":"","plain_text":"Mexique","html":"Mexique
"},{"id":"text-70","type":"text","heading":"","plain_text":"http: //mcdonalds.promoscupom[.]cf / index2.html","html":"http: //mcdonalds.promoscupom[.]cf / index2.html
"},{"id":"text-71","type":"text","heading":"","plain_text":"Portefeuille Bitcoin","html":"Portefeuille Bitcoin
"},{"id":"text-72","type":"text","heading":"","plain_text":"3QWffRcMw6mmwv4dCyYZsXYFq7Le9jpuWc","html":"3QWffRcMw6mmwv4dCyYZsXYFq7Le9jpuWc
"},{"id":"text-73","type":"text","heading":"","plain_text":"Techniques MITRE ATT & CK","html":"Techniques MITRE ATT & CK
"},{"id":"text-74","type":"text","heading":"","plain_text":"Tactique\nID\nprénom\nLa description","html":"Tactique\nID\nprénom\nLa description
"},{"id":"text-75","type":"text","heading":"","plain_text":"Accès initial\nT1192\nLien spearphishing\nDans les campagnes anti-spam de Mispadu, la victime est dirigée vers la charge utile par un lien malveillant.","html":"Accès initial\nT1192\nLien spearphishing\nDans les campagnes anti-spam de Mispadu, la victime est dirigée vers la charge utile par un lien malveillant.
"},{"id":"text-76","type":"text","heading":"","plain_text":"Exécution\nT1085\nRundll32\nLe cheval de Troie bancaire Mispadu est exécuté par un injecteur exécuté via rundll32.exe.","html":"Exécution\nT1085\nRundll32\nLe cheval de Troie bancaire Mispadu est exécuté par un injecteur exécuté via rundll32.exe.
"},{"id":"text-77","type":"text","heading":"","plain_text":"Persistance\nT1176\nExtensions du navigateur\nLa variante Mispadu ciblant le Brésil utilise une extension de navigateur Google Chrome.","html":"Persistance\nT1176\nExtensions du navigateur\nLa variante Mispadu ciblant le Brésil utilise une extension de navigateur Google Chrome.
"},{"id":"text-78","type":"text","heading":"","plain_text":"T1060\nRegistre exécuter clés / dossier de démarrage\nMispadu assure la persistance en créant un lien dans le dossier de démarrage.","html":"T1060\nRegistre exécuter clés / dossier de démarrage\nMispadu assure la persistance en créant un lien dans le dossier de démarrage.
"},{"id":"text-79","type":"text","heading":"","plain_text":"Défense Evasion\nT1140\nDésobfuscation / décodage de fichiers ou d'informations\nMispadu utilise des fichiers de configuration encodés.","html":"Défense Evasion\nT1140\nDésobfuscation / décodage de fichiers ou d'informations\nMispadu utilise des fichiers de configuration encodés.
"},{"id":"text-80","type":"text","heading":"","plain_text":"T1036\nMascarade\nMispadu se fait passer pour un coupon de réduction.","html":"T1036\nMascarade\nMispadu se fait passer pour un coupon de réduction.
"},{"id":"text-81","type":"text","heading":"","plain_text":"T1064\nScripting\nMispadu utilise VBS exclusivement dans ses chaînes de distribution.","html":"T1064\nScripting\nMispadu utilise VBS exclusivement dans ses chaînes de distribution.
"},{"id":"text-82","type":"text","heading":"","plain_text":"Accès aux informations d'identification\nT1056\nCapture d'entrée\nMispadu peut exécuter un enregistreur de frappe. Son extension Google Chrome tente de dérober diverses informations sensibles via la capture d’entrée.","html":"Accès aux informations d'identification\nT1056\nCapture d'entrée\nMispadu peut exécuter un enregistreur de frappe. Son extension Google Chrome tente de dérober diverses informations sensibles via la capture d’entrée.
"},{"id":"text-83","type":"text","heading":"","plain_text":"T1081\nInformations d'identification dans les fichiers\nMispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir de fichiers.","html":"T1081\nInformations d'identification dans les fichiers\nMispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir de fichiers.
"},{"id":"text-84","type":"text","heading":"","plain_text":"T1214\nIdentifiants dans le registre\nMispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir du registre Windows.","html":"T1214\nIdentifiants dans le registre\nMispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir du registre Windows.
"},{"id":"text-85","type":"text","heading":"","plain_text":"Découverte\nT1083\nDécouverte de fichiers et de répertoires\nMispadu recherche différents chemins de système de fichiers afin de déterminer quelles applications sont installées sur la machine de la victime.","html":"Découverte\nT1083\nDécouverte de fichiers et de répertoires\nMispadu recherche différents chemins de système de fichiers afin de déterminer quelles applications sont installées sur la machine de la victime.
"},{"id":"text-86","type":"text","heading":"","plain_text":"T1057\nDécouverte de processus\nMispadu recherche différents noms de processus afin de déterminer quelles applications sont exécutées sur la machine de la victime.","html":"T1057\nDécouverte de processus\nMispadu recherche différents noms de processus afin de déterminer quelles applications sont exécutées sur la machine de la victime.
"},{"id":"text-87","type":"text","heading":"","plain_text":"T1063\nDécouverte de logiciels de sécurité\nMispadu analyse le système pour rechercher les logiciels de sécurité installés.","html":"T1063\nDécouverte de logiciels de sécurité\nMispadu analyse le système pour rechercher les logiciels de sécurité installés.
"},{"id":"text-88","type":"text","heading":"","plain_text":"T1082\nDécouverte d'informations système\nMispadu extrait la version du système d'exploitation, le nom de l'ordinateur et l'ID de langue.","html":"T1082\nDécouverte d'informations système\nMispadu extrait la version du système d'exploitation, le nom de l'ordinateur et l'ID de langue.
"},{"id":"text-89","type":"text","heading":"","plain_text":"Collection\nT1115\nDonnées du presse-papier\nMispadu capture et remplace les portefeuilles bitcoin dans le presse-papiers.","html":"Collection\nT1115\nDonnées du presse-papier\nMispadu capture et remplace les portefeuilles bitcoin dans le presse-papiers.
"},{"id":"text-90","type":"text","heading":"","plain_text":"T1113\nCapture d'écran\nMispadu contient une commande pour prendre des captures d'écran.","html":"T1113\nCapture d'écran\nMispadu contient une commande pour prendre des captures d'écran.
"},{"id":"text-91","type":"text","heading":"","plain_text":"Commander et contrôler\nT1024\nProtocole cryptographique personnalisé\nMispadu utilise un protocole cryptographique personnalisé pour protéger ses données.","html":"Commander et contrôler\nT1024\nProtocole cryptographique personnalisé\nMispadu utilise un protocole cryptographique personnalisé pour protéger ses données.
"},{"id":"text-92","type":"text","heading":"","plain_text":"Exfiltration\nT1041\nExfiltration sur le canal de commande et de contrôle\nMispadu envoie les données collectées à son serveur C & C.","html":"Exfiltration\nT1041\nExfiltration sur le canal de commande et de contrôle\nMispadu envoie les données collectées à son serveur C & C.
"},{"id":"text-93","type":"text","heading":"","plain_text":"ESET Recherche\t\t\t\t\t\t\t\t19 novembre 2019 – 11h30","html":"ESET Recherche\t\t\t\t\t\t\t\t19 novembre 2019 – 11h30
"},{"id":"text-94","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Un autre de nos séries occasionnelles démystifiant les chevaux de Troie bancaires latino-américains"},{"id":"text-2","heading":"Text","content":"Dans cet article de notre série de blogs, nous nous concentrerons sur Mispadu, ambitieux cheval de Troie bancaire latino-américain qui utilise la publicité malveillante de McDonald et étend sa surface d’attaque aux navigateurs Web.\nNous pensons que cette famille de malwares cible le grand public. Ses principaux objectifs sont le vol d’argent et de pièces d’identité. Au Brésil, nous avons assisté à la distribution d'une extension malveillante de Google Chrome qui tente de voler des données de carte de crédit et des données bancaires en ligne, et qui compromet le système de paiement Boleto.\nCaractéristiques\nMispadu est une famille de logiciels malveillants, identifiée lors de notre recherche sur les chevaux de Troie bancaires en Amérique latine, qui cible le Brésil et le Mexique. Il est écrit en Delphi et attaque ses victimes en utilisant la même méthode que les familles décrites précédemment dans cette série: en affichant de fausses fenêtres contextuelles et en essayant de persuader les victimes potentielles de divulguer des informations sensibles.\nPour ses fonctionnalités de porte dérobée, Mispadu peut prendre des captures d’écran, simuler des actions de la souris et du clavier et capturer des frappes au clavier. Il peut se mettre à jour via un fichier de script Visual Basic (VBS) qu'il télécharge et exécute.\nComme les autres chevaux de Troie bancaires latino-américains, Mispadu collecte également des informations sur ses victimes, à savoir:"},{"id":"text-3","heading":"Text","content":"Version du système d'exploitation\nNom de l'ordinateur\nID de langue\nsi Diebold Warsaw GAS Tecnologia (une application populaire au Brésil pour protéger l'accès aux services bancaires en ligne) est installée\nliste des applications bancaires communes installées en Amérique latine\nliste des produits de sécurité installés"},{"id":"text-4","heading":"Text","content":"Comme dans les cas d'Amavaldo et de Casbaneiro, Mispadu peut également être identifié en utilisant un algorithme cryptographique unique et personnalisé pour masquer les chaînes dans son code. Ceci est utilisé dans tous les composants, ainsi que pour protéger ses fichiers de configuration et les communications C & C. La figure 1 illustre le code noyau implémentant cet algorithme et la pseudocode de la figure 2 pour cet algorithme."},{"id":"text-5","heading":"Text","content":"Figure 1. Algorithme de Mispadu pour le déchiffrement des données"},{"id":"text-6","heading":"Text","content":"def decrypt_string (data_enc, clé):\nseed = data_enc[0] – 0x41 # 'A'\ndata_dec = str ()\npour i dans la plage (1, len (data_enc), 2):\nb1 = (data_enc[i] – 0x41) * 25\nb2 = data_enc[i+1] – 0x41 – clé de graine\ndata_dec + = chr (b1 + b2)\nretourne data_dec"},{"id":"text-7","heading":"Text","content":"def decrypt_string(data_enc, clé):\n\tla graine = data_enc[[0] – 0x41 # 'UNE'\n\tdata_dec = str()\n\tpour je dans intervalle(1, len(data_enc), 2):\n\t\tb1 = (data_enc[[je] – 0x41) * 25\n\t\tb2 = data_enc[[je+1] – 0x41 – la graine – clé\n\t\tdata_dec + = chr(b1 + b2)\n\trevenir data_dec"},{"id":"text-8","heading":"Text","content":"Figure 2. Pseudocode de l'algorithme de Mispadu pour le déchiffrement des données\nL'exécutable de cheval de Troie bancaire est livré avec quatre applications potentiellement indésirables stockées dans sa section des ressources. Ces applications sont toutes des fichiers légitimes de Nirsoft, mais ont été corrigées pour s'exécuter à partir de la ligne de commande sans interface graphique. Les logiciels malveillants les utilisent pour extraire les informations d'identification stockées:"},{"id":"text-9","heading":"Text","content":"navigateurs (Google Chrome, Mozilla Firefox, Internet Explorer), et\nclients de messagerie (Microsoft Outlook, Mozilla Thunderbird et Windows Live Mail, entre autres)."},{"id":"text-10","heading":"Text","content":"Mispadu surveille également le contenu du presse-papiers et tente de remplacer le portefeuille potentiel en bitcoin par le sien, comme l’a fait Casbaneiro. Cependant, en examinant le portefeuille de l’attaquant (voir Figure 3), il n’a pas été très fructueux à ce jour."},{"id":"text-11","heading":"Text","content":"Figure 3. Portefeuille Bitcoin utilisé par l'opérateur Mispadu"},{"id":"text-12","heading":"Text","content":"Distribution\nMispadu utilise deux méthodes de distribution: le courrier indésirable (voir Figure 4) et la publicité incorrecte. Alors que la première méthode est très courante pour les chevaux de Troie bancaires latino-américains, la seconde ne l’est pas, examinons-la de plus près. La figure 5 montre le déroulement de l'attaque de Mispadu."},{"id":"text-13","heading":"Text","content":"Figure 4. Exemples d’e-mails de spam distribuant Mispadu. Celui qui cible le Brésil (à gauche) affirme que le destinataire a été absent pendant trois tentatives de livraison de colis et qu'il devrait suivre l'URL pour obtenir un remboursement. Celui qui cible le Mexique (à droite) invite le destinataire à télécharger une facture pour éviter le «blocage» du compte."},{"id":"text-14","heading":"Text","content":"Figure 5. Chaîne de distribution et d’exécution de Mispadu"},{"id":"text-15","heading":"Text","content":"L’acteur de la menace a placé des publicités sponsorisées (voir la figure 6 pour un exemple brésilien) sur Facebook offrant de faux coupons de réduction pour McDonald’s. En cliquant sur les publicités, la victime potentielle est dirigée vers l’une des pages Web illustrées à la figure 7. Quel que soit le système d’exploitation du visiteur, cliquer sur le bouton correspondant permet de télécharger une archive ZIP contenant un programme d’installation MSI. Parfois, ces archives contiennent également des logiciels légitimes tels que Mozilla Firefox ou PuTTY, mais ils ne sont que des leurres et ne sont pas utilisés du tout.\nLes opérateurs de Mispadu ont compilé deux versions différentes du cheval de Troie bancaire en fonction du pays qu’elles attaquent. En outre, ils ont décidé d'utiliser différents installateurs et étapes ultérieures pour chaque pays attaqué. Cependant, la logique des deux chaînes est la même et nous décrivons cette forme générale ci-dessous."},{"id":"text-16","heading":"Text","content":"Figure 6. Annonces Facebook créées par les opérateurs de Mispadu menant à de faux sites Web de coupons McDonald’s (traduction du titre de l’annonce: «Utilisez-les un jour de septembre! Coupons de l’indépendance. À vous de jouer»)"},{"id":"text-17","heading":"Text","content":"Figure 7. Pages Web malveillantes proposant de faux coupons de réduction pour McDonald’s Brazil (à gauche) et Mexique (à droite) (traduction du texte principal des deux: "Ce coupon ne peut être utilisé qu'une seule fois. Je veux / Générer un coupon")"},{"id":"text-18","heading":"Text","content":"Lorsque la victime potentielle exécute le programme d'installation MSI, une chaîne de trois scripts VBS est créée. Le premier script (déballeur) déchiffre et exécute le second script (téléchargeur) à partir de ses données internes, comme le montre la figure 8. Le téléchargeur script récupère le troisième script (chargeur) et l'exécute (voir la figure 9)."},{"id":"text-19","heading":"Text","content":"Figure 8. Script de décompresseur de la chaîne de distribution Mispadu (étape 1). Notez que la clé est calculée dans la variable w2 à la valeur 95."},{"id":"text-20","heading":"Text","content":"Figure 9. Script du téléchargeur de la chaîne de distribution Mispadu (étape 2). Notez que la clé codée en dur est la même que dans l'étape précédente."},{"id":"text-21","heading":"Text","content":"le chargeur Le script est plus compliqué que les deux premières étapes. C'est spécifique à la localisation; il vérifie l'identificateur de langue de la machine victime potentielle pour vérifier qu'il provient bien du pays ciblé par la campagne en cours (Brésil ou Mexique, respectivement). Il peut également détecter certains environnements virtuels. si un environnement virtuel est détecté ou si les paramètres régionaux souhaités ne sont pas trouvés, le chargeur quitte.\nSinon, le chargeur Le script continue en définissant des fichiers de configuration (décrits en détail plus loin) et en téléchargeant (i) un cheval de Troie bancaire Mispadu, (ii) un injecteur (DLL) utilisé pour l’exécuter et (iii) des DLL de support légitimes. Chaque fichier est téléchargé dans une archive ZIP distincte, comme illustré à la figure 5. Nous fournissons un pseudocode pour l'algorithme de déchiffrement de la figure 10."},{"id":"text-22","heading":"Text","content":"def decrypt_payload (data_enc):\nclé = data_enc[0]\n\tdata_dec = str ()\npour i dans la plage (1, len (data_enc)):\ndata_dec + = chr (data_enc[i] – ((clé + i – 1)% 10))\nretourne data_dec"},{"id":"text-23","heading":"Text","content":"def decrypt_payload(data_enc):\n\tclé = data_enc[[0]\n\tdata_dec = str()\n\tpour je dans intervalle(1, len(data_enc)):\n\t\tdata_dec + = chr(data_enc[[je] – ((clé + je – 1) % dix))\n\trevenir data_dec"},{"id":"text-24","heading":"Text","content":"Figure 10. Pseudocode de l’algorithme de déchiffrement de la charge utile de Mispadu\nLes serveurs de téléchargement de Mispadu vérifient la validité des demandes qu’ils reçoivent. L'envoi d'une demande non valide entraîne une réponse d'image obscène que nous ne pouvons pas reproduire ici.\nFinalement, le chargeur Le script configure la persistance en créant un lien dans le dossier de démarrage et en exécutant l'injecteur. Ceci se fait via rundll32.exe en appelant une fonction exportée de la DLL d'injecteur dont le nom provient d'un des fichiers de configuration précédemment configurés. L'injecteur localise le cheval de Troie bancaire crypté, puis le déchiffre et l'exécute.\nNous avons trouvé un répertoire ouvert sur l'un des serveurs utilisés par Mispadu et les fichiers connectés à une campagne très similaire y étaient stockés. Ces fichiers peuvent être utilisés pour créer une page Web imitant AreaVIP (un site de tabloïd au Brésil) et pour forcer une fausse mise à jour d'Adobe Flash Player sur ses victimes potentielles. Nous n'avons pas observé cette campagne dans la nature et pensons qu'il pourrait s'agir d'une configuration pour l'avenir.\nDepuis que la campagne Mispadu ciblant le Brésil a utilisé le raccourcisseur d’URL Tiny.CC, nous avons pu rassembler des statistiques. Comme le montre la figure 11, cette campagne a généré près de 100 000 clics, exclusivement en provenance du Brésil. Les clics provenant d’Android résultent probablement du fait que la publicité est affichée sur Facebook, quel que soit le périphérique de l’utilisateur. Vous pouvez également constater que la campagne est récurrente: une phase s’est terminée au cours de la seconde moitié de septembre 2019 et a refait surface au début d’octobre 2019."},{"id":"text-25","heading":"Text","content":"Figure 11. Statistiques de la campagne Mispadu Brésilien"},{"id":"text-26","heading":"Text","content":"Partage d'une pièce jointe\nLes e-mails de spam et le faux site Web de McDonald’s sont intéressants sous un autre aspect: à partir duquel le faux coupon est téléchargé. Les opérateurs de Mispadu ont abusé de la plate-forme russe Yandex.Mail pour stocker leur charge utile (voir Figure 12). Le scénario le plus probable est que les opérateurs ont créé un compte sur Yandex.Mail, envoyé un e-mail avec le coupon malveillant en pièce jointe, puis indiqué à la victime potentielle un lien direct vers cette pièce jointe."},{"id":"text-27","heading":"Text","content":"Figure 12. URL de téléchargement de l'archive contenant le programme d'installation malveillant de Mispadu MSI."},{"id":"text-28","heading":"Text","content":"Configuration\nL'utilisation de fichiers de configuration est assez rare parmi les chevaux de Troie bancaires latino-américains; Cependant, dans l'ensemble, Mispadu en utilise trois différents et ne peut fonctionner sans eux. Tous les fichiers de configuration sont soit contenus dans, soit obtenus par chargeur script décrit plus tôt.\nLa configuration d'exécution de Mispadu est uniquement stockée en mémoire avec les données téléchargées à partir de l'un de ses serveurs de téléchargement (serveur distant 1 sur la figure 5). Il contient trois informations cruciales:"},{"id":"text-29","heading":"Text","content":"une chaîne nécessaire pour créer l'URL pour télécharger l'injecteur\nle nom du dossier où le malware sera installé\nle nom de la fonction exportée de l'injecteur à appeler afin d'exécuter le cheval de Troie bancaire"},{"id":"text-30","heading":"Text","content":"Les données de configuration générales sont abandonnées dans C: Utilisateurs Public % NOMORDINATEUR%[1], étant nommé comme la deuxième lettre du nom de l'ordinateur de la victime (ainsi, pour un ordinateur nommé «JOHN-PC», le fichier serait nommé «O»). Il est créé à partir des données contenues dans le chargeur script et dans le fichier de configuration d’exécution, contient les informations de version, la clé cryptographique et les chemins du système de fichiers.\nLes données de configuration C & C sont stockées dans un fichier au même emplacement que le précédent sous le même nom de fichier avec “_” ajouté (“O_”, pour continuer l'exemple précédent). Cela consiste en:"},{"id":"text-31","heading":"Text","content":"# ip # (espace réservé pour une adresse IP utilisée par le cheval de Troie bancaire pour recevoir des commandes de porte dérobée)\n#wp[1-3]# (espaces réservés pour 3 ports associés à # ip #)\ndeux listes de 31 domaines chacune (liste principale et liste de sauvegarde)"},{"id":"text-32","heading":"Text","content":"Mispadu choisit ses domaines de C & C de sauvegarde et de sauvegarde parmi ces listes en fonction du jour du mois en cours. Il essaie ensuite d'obtenir une version mise à jour du fichier de configuration C & C à partir de ce domaine toutes les quelques heures et remplace le fichier supprimé par celui-ci. Nous pensons que l’idée principale de cette approche est de remplir les espaces réservés afin d’activer la fonctionnalité de porte dérobée.\nProtégez votre Chrome\nC’est une bonne idée, mais ne le faites pas avec l’extension malveillante du navigateur Google Chrome que nous avons observée et distribuée avec le cheval de Troie bancaire Mispadu au Brésil (voir la figure 13). L’extension (voir la figure 14 s’appelle «Sécurité[[sic]System 1.0 ”et prétend vous aider“ Protégez votre Chrome ”(traduction:“ Protégez votre Chrome ”). Il consiste en trois fichiers JavaScript malveillants décrits ci-dessous."},{"id":"text-33","heading":"Text","content":"Figure 13. Partie de la chaîne de distribution de Mispadu qui change également lorsque l'extension malveillante Google Chrome est également distribuée. Le reste de la chaîne de distribution reste le même."},{"id":"text-34","heading":"Text","content":"Figure 14. Extension Google Chrome illicite installée par Mispadu."},{"id":"text-35","heading":"Text","content":"Composant 1: Manipulation des fenêtres\nCe composant simple n'a qu'une seule fonctionnalité: il crée une nouvelle fenêtre Google Chrome et ferme toutes les autres. Ce composant n'était pas présent dans tous les échantillons analysés et nous pensons qu'il est encore en phase de test.\nComposant 2: Vol de données de carte de crédit\nLe deuxième composant contient une liste codée en dur de sites Web. Dans les pages servies à partir de ces sites, il recherche tout champ de saisie contenant «texte», «email», «tel», «numéro», «mot de passe» ou «radio». Si «CVV», «CÓD SEG» ou leurs variantes se trouvent n'importe où sur le site Web, le contenu de ces champs de saisie est envoyé à l'attaquant lorsque la victime transmet les informations. Cela révèle clairement l’intention de cette partie de l’extension – le vol de données de carte de crédit.\nComposante 3: Vol de données bancaires et Boleto\nLe troisième composant est le plus avancé. Premièrement, en utilisant un algorithme de type DGS, il génère deux chaînes basées sur le jour du mois en cours et le numéro du mois. Ces chaînes sont ensuite utilisées pour former une URL GitHub sous la forme de https://raw.githubusercontent.com/%FIRST_STRING%/w/master/%SECOND_STRING%,où % FIRST_STRING% est un nom d'utilisateur GitHub. Les données téléchargées à partir de l'URL générée sont déchiffrées dans une URL différente que nous appellerons. URL de charge utile.\nCe composant contient également une liste codée en dur des sites Web ciblés, comme le précédent. Si la victime visite l'un de ces sites Web, un fichier JavaScript malveillant spécifique à ce site Web est obtenu à partir du URL de charge utile et chargé dynamiquement via la fonction eval de JavaScript.\nEn outre, cette composante tente également de compromettre l'utilisation de Boleto, un système de paiement populaire répandu au Brésil. Le système est depuis longtemps une cible attrayante pour les attaquants (vous pouvez en lire plus dans cet article à partir de 2014). Pour payer avec ce système, vous devez imprimer un ticket (boleto). Celui-ci contient principalement un numéro d’identification spécifique au compte bancaire sur lequel le paiement doit être effectué, ainsi qu’un code à barres (voir la figure 15). Le paiement est ensuite effectué en scannant le code à barres ou en saisissant manuellement le numéro d'identification."},{"id":"text-36","heading":"Text","content":"Figure 15. Exemple de boleto (source: Wikipedia)"},{"id":"text-37","heading":"Text","content":"À l'aide d'une expression régulière, le composant malveillant tente de trouver le numéro d'identification et de le remplacer par celui de l'attaquant (obtenu de manière dynamique). De plus, il abuse d’un site Web légitime pour générer le code à barres de paiement en utilisant le numéro de compte de l’attaquant et le remplace par celui-ci. La partie du code responsable de compromettre Boleto est illustrée à la figure 16."},{"id":"text-38","heading":"Text","content":"Figure 16. Extension Google Chrome de Mispadu qui compromet Boleto. Le code permettant d’obtenir le numéro de compte de l’attaquant est marqué en rouge, la génération de codes-barres malveillants en vert."},{"id":"text-39","heading":"Text","content":"Différences entre les campagnes\nOutre les différences déjà mentionnées et le fait évident que chaque variante du cheval de Troie bancaire Mispadu cible un ensemble différent de banques dépendant de leur pays de résidence, la campagne brésilienne diffère de la mexicaine par plusieurs autres aspects mineurs.\nIl semble que les chemins du système de fichiers et les noms de fichiers où les fichiers de configuration sont stockés et que le cheval de Troie bancaire soit installé pour chaque victime soient randomisés. De plus, le chargeur le script contient une partie qui n’est pas utilisée au moment de la rédaction mais qui est prête à abuser de Windows mshta.exe d'exécuter le cheval de Troie bancaire actuel au lieu de rundll.exe.\nConclusion\nDans ce billet de blog, nous avons parlé de Mispadu, une autre famille de troyens bancaires latino-américains isolée au cours de nos recherches. Nous avons montré ses principales caractéristiques, y compris les raisons pour lesquelles nous le considérons comme un cheval de Troie bancaire en Amérique latine: écrit dans Delphi, cible le Brésil et le Mexique, utilise des fenêtres contextuelles et contient des fonctionnalités de porte dérobée.\nNous avons décrit sa chaîne de distribution la plus récente et mis l'accent sur des aspects intéressants, tels que Yandex.Mail, utilisé pour stocker les charges malveillantes et l'utilisation des publicités Facebook malveillantes. Nous avons également analysé les fichiers de configuration utilisés par Mispadu.\nEnfin, nous avons parlé d’une extension malveillante de Google Chrome que Mispadu distribue au Brésil. L’objectif de cette extension est de voler des informations de carte de crédit, des informations bancaires sensibles et d’essayer de voler de l’argent à ses victimes en compromettant le système de paiement Boleto au Brésil.\nPour toute demande de renseignements, contactez-nous à l'adresse suivante :urtintel@eset.com. Des indicateurs de compromis peuvent également être trouvés dans notre dépôt GitHub.\nIndicateurs de compromis (IoC)\nDes hachis\nCampagne brésilienne"},{"id":"text-40","heading":"Text","content":"SHA-1\nLa description\nNom de détection ESET"},{"id":"text-41","heading":"Text","content":"A4EDA0DD2C33A644FEEF170F5C24CF7595C19017\nInstallateur MSI\nVBS / TrojanDownloader.Agent.RVY"},{"id":"text-42","heading":"Text","content":"A9BADCBF3BD5C22EEB6FAF7DB8FC0A24CF18D121\nInjecteur de Mispadu\nWin32 / Injector.EHXF"},{"id":"text-43","heading":"Text","content":"337892E76F3B2DF0CA851CCF4479E56EAF2DB8FD\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 8 septembre 2019)\nWin32 / Spy.Mispadu.C"},{"id":"text-44","heading":"Text","content":"A8CD12CC0BBD06F14AA136EA5A9A2E299E450B18\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 2 oct. 2019)\nWin32 / Spy.Mispadu.C"},{"id":"text-45","heading":"Text","content":"Campagne mexicaine"},{"id":"text-46","heading":"Text","content":"SHA-1\nLa description\nNom de détection ESET"},{"id":"text-47","heading":"Text","content":"CFE21DBFB97C2E93F099D351DE54099A3FC0C98B\nInstallateur MSI\nVBS / TrojanDownloader.Agent.RVY"},{"id":"text-48","heading":"Text","content":"251AC7386D1B376FB1CB0E02BDFC45472387C7BC\nInjecteur de Mispadu\nWin32 / Injector.EHXF"},{"id":"text-49","heading":"Text","content":"A4FC4162162A02CE6FEADFE07B22465686A0EC39\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 10 Sep, 2019)\nWin32 / Spy.Mispadu.J"},{"id":"text-50","heading":"Text","content":"710A20230B9774B3D725539385D714B2F80A5599\nCheval de Troie bancaire Mispadu (horodatage de la compilation PE 11 Sep, 2019)\nWin32 / Spy.Mispadu.J"},{"id":"text-51","heading":"Text","content":"Extension Google Chrome"},{"id":"text-52","heading":"Text","content":"SHA-1\nLa description\nNom de détection ESET"},{"id":"text-53","heading":"Text","content":"3486F6F21034A33C5425A398839DE80AC88FECA8\nComposant 1 (manipuler des fenêtres)\nJS / Spy.Banker.DQ"},{"id":"text-54","heading":"Text","content":"1D19191FB2E9DED396B6352CBF5A6746193D05E8\nComposant 2 (cartes de crédit)\nJS / Spy.Banker.DQ"},{"id":"text-55","heading":"Text","content":"22E6EBDFAB7C2B07FF8748AFE264737C8260E81E\nComposante 3 (données bancaires et Boleto)\nJS / Spy.Banker.DQ"},{"id":"text-56","heading":"Text","content":"Applications potentiellement indésirables pour le vol d'informations d'identification"},{"id":"text-57","heading":"Text","content":"SHA-1\nLa description\nNom de détection ESET"},{"id":"text-58","heading":"Text","content":"63DCBE2DB9CC14564EB84D5E953F2F9F5C54ACD9\nStealer des informations d'identification du client de messagerie\nWin32 / PSWTool.MailPassView.E"},{"id":"text-59","heading":"Text","content":"8B950BF660AA7B5FB619E1F6E665D348BF56C86A\nVoleur d'informations d'identification Google Chrome\nWin32 / PSWTool.ChromePass.A"},{"id":"text-60","heading":"Text","content":"F6021380AD6E26038B5629189A7ADA5E0022C313\nStealer d'informations d'identification Mozilla Firefox\nWin32 / PSWTool.PassFox.F"},{"id":"text-61","heading":"Text","content":"76F70276EB95FFEC876010211B7198BCBC460646\nVoleur d'informations d'identification Internet Explorer\nWin32 / PSWTool.IEPassView.NAH"},{"id":"text-62","heading":"Text","content":"Noms de fichiers"},{"id":"text-63","heading":"Text","content":"C: Utilisateurs Public % NOMORDINATEUR%[1]\nC: Utilisateurs Public % NOMORDINATEUR%[1]_\nC: Utilisateurs Public winx86, libeay32, ssleay32 .dll (DLL légitimes téléchargés par le chargeur scénario; indicateur partiel)"},{"id":"text-64","heading":"Text","content":"Serveurs utilisés"},{"id":"text-65","heading":"Text","content":"http: //18.219.25[.]133 / br / mp1a 1, sq, sl, ss .aj5\nhttp: //3.19.223[.]147 / br / mp1a 1, sq, sl, ss .aj5\nhttp: //51.75.95[.]179 / la8a 1, sq, sl, ss .ay2"},{"id":"text-66","heading":"Text","content":"URL des bons de réduction"},{"id":"text-67","heading":"Text","content":"Brésil"},{"id":"text-68","heading":"Text","content":"http: // promoscupom[.]cf /\nhttp: //mcdonalds.promoscupom[.]cf / index3.html"},{"id":"text-69","heading":"Text","content":"Mexique"},{"id":"text-70","heading":"Text","content":"http: //mcdonalds.promoscupom[.]cf / index2.html"},{"id":"text-71","heading":"Text","content":"Portefeuille Bitcoin"},{"id":"text-72","heading":"Text","content":"3QWffRcMw6mmwv4dCyYZsXYFq7Le9jpuWc"},{"id":"text-73","heading":"Text","content":"Techniques MITRE ATT & CK"},{"id":"text-74","heading":"Text","content":"Tactique\nID\nprénom\nLa description"},{"id":"text-75","heading":"Text","content":"Accès initial\nT1192\nLien spearphishing\nDans les campagnes anti-spam de Mispadu, la victime est dirigée vers la charge utile par un lien malveillant."},{"id":"text-76","heading":"Text","content":"Exécution\nT1085\nRundll32\nLe cheval de Troie bancaire Mispadu est exécuté par un injecteur exécuté via rundll32.exe."},{"id":"text-77","heading":"Text","content":"Persistance\nT1176\nExtensions du navigateur\nLa variante Mispadu ciblant le Brésil utilise une extension de navigateur Google Chrome."},{"id":"text-78","heading":"Text","content":"T1060\nRegistre exécuter clés / dossier de démarrage\nMispadu assure la persistance en créant un lien dans le dossier de démarrage."},{"id":"text-79","heading":"Text","content":"Défense Evasion\nT1140\nDésobfuscation / décodage de fichiers ou d'informations\nMispadu utilise des fichiers de configuration encodés."},{"id":"text-80","heading":"Text","content":"T1036\nMascarade\nMispadu se fait passer pour un coupon de réduction."},{"id":"text-81","heading":"Text","content":"T1064\nScripting\nMispadu utilise VBS exclusivement dans ses chaînes de distribution."},{"id":"text-82","heading":"Text","content":"Accès aux informations d'identification\nT1056\nCapture d'entrée\nMispadu peut exécuter un enregistreur de frappe. Son extension Google Chrome tente de dérober diverses informations sensibles via la capture d’entrée."},{"id":"text-83","heading":"Text","content":"T1081\nInformations d'identification dans les fichiers\nMispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir de fichiers."},{"id":"text-84","heading":"Text","content":"T1214\nIdentifiants dans le registre\nMispadu utilise d'autres outils pour extraire les informations d'identification des clients de messagerie et des navigateurs Web à partir du registre Windows."},{"id":"text-85","heading":"Text","content":"Découverte\nT1083\nDécouverte de fichiers et de répertoires\nMispadu recherche différents chemins de système de fichiers afin de déterminer quelles applications sont installées sur la machine de la victime."},{"id":"text-86","heading":"Text","content":"T1057\nDécouverte de processus\nMispadu recherche différents noms de processus afin de déterminer quelles applications sont exécutées sur la machine de la victime."},{"id":"text-87","heading":"Text","content":"T1063\nDécouverte de logiciels de sécurité\nMispadu analyse le système pour rechercher les logiciels de sécurité installés."},{"id":"text-88","heading":"Text","content":"T1082\nDécouverte d'informations système\nMispadu extrait la version du système d'exploitation, le nom de l'ordinateur et l'ID de langue."},{"id":"text-89","heading":"Text","content":"Collection\nT1115\nDonnées du presse-papier\nMispadu capture et remplace les portefeuilles bitcoin dans le presse-papiers."},{"id":"text-90","heading":"Text","content":"T1113\nCapture d'écran\nMispadu contient une commande pour prendre des captures d'écran."},{"id":"text-91","heading":"Text","content":"Commander et contrôler\nT1024\nProtocole cryptographique personnalisé\nMispadu utilise un protocole cryptographique personnalisé pour protéger ses données."},{"id":"text-92","heading":"Text","content":"Exfiltration\nT1041\nExfiltration sur le canal de commande et de contrôle\nMispadu envoie les données collectées à son serveur C & C."},{"id":"text-93","heading":"Text","content":"ESET Recherche\t\t\t\t\t\t\t\t19 novembre 2019 – 11h30"},{"id":"text-94","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/11/mispadu.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/11/29/mispadu-publicite-pour-un-repas-malheureux-a-prix-reduit-serveur-dimpression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/11/29/mispadu-publicite-pour-un-repas-malheureux-a-prix-reduit-serveur-dimpression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/11/29/mispadu-publicite-pour-un-repas-malheureux-a-prix-reduit-serveur-dimpression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}