ven, 30/11/2018 - 18:31
Nikita Mokhov et Yelisey Boguslavkskiy, deux spécialistes en sécurité de l’éditeur Flashpoint infiltrés sur les réseaux cybercriminels russes, ont détecté la mise au point de malwares à la discrétion et à la rentabilité inédites.
Retenez ces noms : Aurora et Kardon sont les derniers modèles de logiciels offensifs dont les pirates vont se servir pour noyauter les ordinateurs des particuliers comme des entreprises.
Ce sont des chargeurs de malwares, ou « loaders » dans le jargon du cybercrime, à savoir des bouts de code si petits qu’ils échappent aux radars des firewall et autres antivirus. Mais une fois installés sur la machine d’une victime, ils servent d’agent de relai pour faire entrer en toute discrétion n’importe quel autre type de malwares.
Aurora et Kardon succèdent à Smoke, le plus célèbre des Loaders, que les hackers exploitent depuis 2011. Par rapport à leur prédécesseur, ces nouveaux modèles apportent des fonctions qui faciliteront le commerce de machines infectées dans le milieu du cybercrime.
Les premières pierres pour bâtir une activité malveillante
Ils mettent ainsi la machine qu’ils infectent sur une place de marché, une sorte de site e-commerce, d’où des clients peuvent en acheter l’accès. Ils n’auront qu’à cliquer sur les options présentées sur une mappemonde pour dérober des droits d’accès et installer à distance des commandes. Celles-ci, des malwares traditionnels, pourront tout aussi bien servir à voler des informations sensibles, crypter les données pour rançonner la victime, utiliser sa puissance de calcul pour miner de la cryptomonnaie, ou encore fédérer la machine infectée dans un botnet (réseau de PC aux ordres des hackers) pour mener des campagnes ultérieures contre d’autres cibles.
Si, techniquement, les loaders sont des logiciels assez simples - des chevaux de Troie destinés à ouvrir un accès distant et dont la taille en mémoire est inférieure à l’icône d’une application – tout l’attrait réside dans les fonctionnalités de leur écosystème. Dans ce contexte, Kardon et Aurora proposent en amont les caractéristiques de haut niveau les plus abouties, comme une interface de pilotage à distance ergonomique, des capacités d’autoréparation en cas de contremesure, ou encore un kit de magasin en ligne pour que tout individu ayant obtenu l’accès à des machines puisse les revendre ou en proposer l’usage à la location.
L’avantage de mieux dissimuler les cybercriminels
L’autre avantage de ces nouveaux Loaders et qu’ils renforcent la discrétion des attaquants, une caractéristique très discutée sur les forums du cybercrime. Habituellement, le point faible de ces dispositifs reste qu’à un moment donné, ces chevaux de Troie doivent tous récupérer des exécutables ou des contenus malveillants depuis un serveur contrôlé par l’individu qui mène la cyberattaque, au risque de le dévoiler.
Sur Aurora, en revanche, les capacités d’autoréparation consistent par exemple à dupliquer les caractéristiques de l’infection d’une machine sur deux autres du même botnet. Ainsi, si le malware installé chez une victime est détruit par un antivirus local, Aurora pourra le réinstaller automatiquement, sans même avoir besoin de contacter le serveur du pirate pour récupérer le code malveillant et le configurer. Cette tactique rend de fait l’attaquant plus difficile à repérer.
Les successeurs de Smoke, la vedette des Loaders
Les analystes de Flashpoint sont convaincus que, plus que tout autre Loader actuellement en production, Aurora et Kardon suivront la même carrière que Smoke, lequel a servi à constituer plusieurs armées de botnets téléguidées dans de nombreuses cyberattaques. La leur commence en effet de la même manière : ils jouissent de la même popularité sur les mêmes forums undergrounds que Smoke a ses débuts, ils ont très tôt bénéficié des mêmes types d’amélioration et ont désormais reçu l’aval des cybercriminels pour une large diffusion.
Parmi les faits d’armes de Smoke, citons son rôle majeur dans le déploiement de RIG, le kit que les cybercriminels utilisent pour infiltrer de la publicité malveillante dans les moteurs de recherche. Plus récemment, on le trouve à la base de campagnes de cryptojacking ; téléchargé via un document Word en pièce attachée, il installe par exemple le malware Zeus Panda Banker pour miner sur la cible des Moneros, une crypto-monnaie plus discrète que les Bitcoins.
Smoke reste aujourd’hui très utilisé et il est notable que son succès a contribué à développer un véritable commerce de botnets entiers. Auparavant, les cybercriminels avaient l’habitude de n’acheter qu’une seule machine infectée pour lui demander d’en infecter d’autres.
Les Loaders constituent généralement la première étape dans la compromission des systèmes. Ils sont diffusés par des vecteurs classiques, comme l’e-mail ou le téléchargement de pièces infectées. Au contraire des « Droppers », les Loaders n’intègrent pas l’essentiel du code malveillant, ils le téléchargent dans un second temps via une URL. A l’inverse des logiciels classiques qui sont régulièrement mis à jour, les Loaders n’évoluent pas au cours de leur cycle de vie ; l’ajout éventuel de nouvelles fonctions n’a lieu qu’au tout début de leur carrière. Des variantes d’un Loader peuvent néanmoins paraître sur les forums au fil du temps. C’est ce qui est arrivé à Smoke.
A propos de l'auteur