Attention aux “Coronavirus Maps” – Il s’agit d’un logiciel malveillant qui infecte les PC pour voler les mots de passe

Les cybercriminels ne reculeront devant rien pour exploiter toutes les chances de s’attaquer aux internautes.
Même la propagation désastreuse du SRAS-COV-II (le virus), qui provoque la COVID-19 (la maladie), devient pour eux une occasion de diffuser également des logiciels malveillants ou de lancer des cyberattaques.


Raison pour laquelle Cybersecurity a récemment publié un rapport d’analyse des menaces détaillant une nouvelle attaque qui tire parti de la soif d’informations accrue des internautes sur le nouveau coronavirus qui fait des ravages dans le monde entier.


Cette attaque vise spécifiquement ceux qui recherchent des présentations cartographiques de la propagation de COVID-19 sur Internet, et les incite à télécharger et à exécuter une application malveillante qui, à l’avant, affiche une carte chargée à partir d’une source en ligne légitime, mais qui, à l’arrière-plan, compromet l’ordinateur.


Nouvelle menace avec un ancien composant de logiciel malveillant


La dernière menace, conçue pour voler des informations à des victimes involontaires, a été repérée pour la première fois par MalwareHunterTeam la semaine dernière et a été analysée par Shai Alfasi, un chercheur en cybersécurité de Reason Labs.


Il s’agit d’un malware identifié comme AZORult, un logiciel malveillant qui vole des informations et qui a été découvert en 2016. Le malware AZORult collecte des informations stockées dans les navigateurs web, en particulier des cookies, des historiques de navigation, des ID utilisateur, des mots de passe et même des clés cryptocurrentielles.


Avec ces données tirées des navigateurs, il est possible pour les cybercriminels de voler des numéros de cartes de crédit, des identifiants de connexion et diverses autres informations sensibles.


AZORult serait discuté dans les forums clandestins russes comme un outil permettant de collecter des données sensibles sur les ordinateurs. Il est livré avec une variante capable de générer un compte d’administrateur caché dans les ordinateurs infectés afin de permettre des connexions via le protocole RDP (Remote Desktop Protocol).


Analyse de l’échantillon


Alfasi fournit des détails techniques sur l’étude du malware, qui est intégré dans le fichier, généralement nommé Corona-virus-Map.com.exe. Il s’agit d’un petit fichier Win32 EXE d’une taille d’environ 3,26 Mo seulement.
Un double-clic sur le fichier ouvre une fenêtre qui affiche diverses informations sur la propagation de COVID-19. La pièce maîtresse est une “carte des infections” similaire à celle hébergée par l’Université Johns Hopkins, une source en ligne légitime pour visualiser et suivre en temps réel les cas de coronavirus signalés.


Le nombre de cas confirmés dans les différents pays est présenté sur la gauche, tandis que les statistiques sur les décès et les guérisons sont présentées sur la droite. La fenêtre semble être interactive, avec des onglets pour diverses autres informations connexes et des liens vers des sources.


Elle présente une interface graphique convaincante que peu de gens soupçonneraient d’être nuisible. Les informations présentées ne sont pas un amalgame de données aléatoires, mais plutôt des informations COVID-19 réelles mises en commun à partir du site web de Johns Hopkins.


Il est à noter que la carte originale du coronavirus hébergée en ligne par l’université Johns Hopkins ou ArcGIS n’est pas infectée ou en arrière-plan de quelque manière que ce soit et peut être consultée en toute sécurité.
Le logiciel malveillant utilise quelques couches de conditionnement ainsi qu’une technique multi-sous-processus infusée pour rendre la détection et l’analyse difficiles pour les chercheurs. De plus, il utilise un planificateur de tâches pour pouvoir continuer à fonctionner.


Signes d’infection

 


L’exécution du fichier Corona-virus-Map.com.exe entraîne la création de doublons du fichier Corona-virus-Map.com.exe et de plusieurs fichiers Corona.exe, Bin.exe, Build.exe et Windows.Globalization.Fontgroups.exe.
Corona-virus-Map


De plus, le malware modifie une poignée de registres sous ZoneMap et LanguageList. Plusieurs mutex sont également créés.


L’exécution du logiciel malveillant active les processus suivants : Bin.exe, Windows.Globalization.Fontgroups.exe, et Corona-virus-Map.com.exe. Ceux-ci tentent de se connecter à plusieurs URL.


Ces processus et URL ne sont qu’un échantillon de ce que l’attaque implique. De nombreux autres fichiers sont générés et des processus sont lancés. Ils créent diverses activités de communication en réseau, car les logiciels malveillants tentent de rassembler différents types d’informations.


Comment l’attaque vole des informations

 


Alfasi a présenté un compte-rendu détaillé de la façon dont il a disséqué le malware dans un article du blog Reason Security. L’un des détails les plus marquants est son analyse du processus Bin.exe avec Ollydbg. En conséquence, le processus a permis d’écrire quelques bibliothèques de liens dynamiques (DLL). La DLL “nss3.dll” a attiré son attention car il s’agit d’une chose qu’il connaissait bien de la part de différents acteurs.
Corona-virus-Map


Alfasi a observé une charge statique d’API associée à nss3.dll. Ces API semblaient faciliter le décryptage des mots de passe sauvegardés ainsi que la génération de données de sortie.


Il s’agit d’une approche courante utilisée par les voleurs de données. Relativement simple, elle ne fait que capturer les données de connexion du navigateur web infecté et les déplacer vers le dossier C:\Windows\Temp. C’est l’une des caractéristiques d’une attaque AZORult, où le malware extrait les données, génère un identifiant unique de l’ordinateur infecté, applique un cryptage XOR, puis lance une communication C2.


Le logiciel malveillant effectue des appels spécifiques pour tenter de voler les données de connexion de comptes en ligne courants tels que Telegram et Steam.

Il faut souligner que l’exécution des logiciels malveillants est la seule étape nécessaire pour qu’elle puisse poursuivre ses processus de vol d’informations. Les victimes n’ont pas besoin d’interagir avec la fenêtre ou d’y entrer des informations sensibles.


Nettoyage et prévention


Cela peut sembler promotionnel, mais M. Alfasi suggère le logiciel Reason Antivirus comme solution pour réparer les appareils infectés et prévenir d’autres attaques. Après tout, il est affilié à Reason Security. Reason est le premier à trouver et à examiner cette nouvelle menace, afin de pouvoir la traiter efficacement.


Il est probable que d’autres sociétés de sécurité aient déjà pris connaissance de cette menace, puisque Reason l’a rendue publique le 9 mars dernier. Leurs antivirus ou leurs outils de protection contre les logiciels malveillants auront été mis à jour au moment de la publication.


En tant que tels, ils peuvent être tout aussi capables de détecter et de prévenir la nouvelle menace.
La clé pour supprimer et arrêter les logiciels malveillants opportunistes de type “carte de coronavirus” est de disposer d’un système de protection contre les logiciels malveillants adéquat. Il sera difficile de le détecter manuellement, et encore plus de supprimer l’infection sans le bon outil logiciel.


Il ne suffit peut-être pas d’être prudent dans le téléchargement et l’exécution de fichiers sur Internet, car beaucoup ont tendance à être trop impatients d’accéder aux informations sur le nouveau coronavirus de nos jours.
La dispersion de COVID-19 au niveau pandémique mérite la plus grande prudence, non seulement hors ligne (pour éviter de contracter la maladie) mais aussi en ligne. Les cyber-attaquants exploitent la popularité des ressources liées aux coronavirus sur le web, et beaucoup d’entre eux seront probablement victimes de ces attaques.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *