Astaroth: des tactiques d’évasion difficiles à analyser

Les opérateurs de l’infostealer Astaroth ont mis en œuvre plusieurs nouvelles tactiques visant à échapper à la détection, ce qui, selon les chercheurs, a rendu le logiciel malveillant «difficile à analyser».

Astaroth a vu le jour en 2017, mais a été régulièrement utilisé au fil des ans dans des campagnes de plus en plus sophistiquées visant à exfiltrer des données sensibles. En Septembre, par exemple, des chercheurs de Cofense ont signalé que le cheval de Troie se propageait via des e-mails d’hameçonnage et utilisait des sources normalement fiables comme couverture d’activités malveillantes pour échapper aux mesures de sécurité réseau qui sont généralement efficaces.

Une analyse plus récente d’Astaroth est maintenant disponible, après avoir été découverte au cœur d’une campagne d’hameçonnage ciblant des utilisateurs Brésiliens au cours des 9 derniers mois. Les nouveaux échantillons d’Astaroth montrent que la famille de logiciels malveillants est mise à jour et modifiée “à un rythme alarmant”, selon les chercheurs de Cisco Talos.

“Astaroth est évasif par nature et ses auteurs ont pris toutes les mesures pour assurer son succès”, ont déclaré les chercheurs Nick Biasini, Edmund Brumaghin et Nick Lister dans une analyse. «Ils ont mis en place un labyrinthe complexe de contrôles anti-analyse et anti-sandbox pour empêcher la détection ou l’analyse du malware.»

Les leurres d’Astaroth

La campagne la plus récente distribue Astaroth aux utilisateurs brésiliens dans des milliers de courriels écrits en portugais. Au cours des six à huit derniers mois, ces pirates ont exploité plusieurs leurres touchant à plusieurs sujets différents, y compris la pandémie de coronavirus (dans des messages prétendant provenir du ministère de la Santé du Brésil), ou le statut du Cadastro de Pessoas Físicas des victimes, un document essentiel au Brésil similaire aux cartes de sécurité sociale.

astaroth

Les courriels persuadent les victimes de cliquer sur un lien, qui télécharge ensuite un fichier .ZIP qui agit comme un dropper pour un fichier .LNK malveillant. Ce fichier lance ensuite un processus d’infection complexe. Le fichier .LNK contient des commandes batch qui, une fois exécutées, créent un fichier JScript fortement camouflé. Le fichier Jscript dé-camouflé révèle un téléchargeur robuste, qui recherche un payload («sqlite3.dll») pour la troisième étape. Si le téléchargeur trouve avec succès sqlite3.dll, il télécharge finalement Astaroth, qui se charge de voler des informations sensibles à partir de diverses applications exécutées sur des systèmes infectés.

L’anti-analyse

Le processus d’infection d’Astaroth et le payload implémentent une série robuste de techniques anti-analyse. Pendant le processus d’infection, par exemple, JScript utilise différentes couches d’obscurcissement pour rendre l’analyse plus difficile, y compris le remplacement de CharCode utilisé tout au long du script.

astaroth

«Le script prend effectivement la représentation décimale des caractères ASCII, les convertit et concatène le résultat pour créer une chaîne contenant la syntaxe de ligne de commande nécessaire au processeur de commandes Windows pour les exécuter», ont expliqué les chercheurs.

Pendant le téléchargement, Astaroth effectue également diverses vérifications environnementales pour tenter de déterminer si le logiciel malveillant est exécuté dans un environnement virtuel ou d’analyse, y compris la détection d’indicateurs de machine virtuelle (VM), des sandbox, des outils de débogage pour Windows et plus encore. Si l’une des vérifications échoue, le logiciel malveillant force le système à redémarrer.

Le malware fait de son mieux pour assurer l’anti-analyse, il utilise CreateToolhelp32Snapshot (une fonction Windows légitime permettant aux utilisateurs de prendre des captures d’écran de leurs systèmes) pour identifier les ajouts de machines virtuelles invitées qui peuvent être installées sur le système (en particulier celles associées à la fois à VirtualBox et VMware). Le logiciel malveillant recherche également la présence de périphériques matériels couramment observés sur les machines virtuelles, ainsi que les applications couramment utilisées pour les détections de logiciels malveillants (telles que Wireshark, Autoruns, Process Hacker, ImportREC et plus).

“Les pirates informatiques derrière ces campagnes étaient tellement préoccupés par l’évasion qu’ils n’incluaient pas seulement un ou deux contrôles anti-analyse, mais des dizaines de contrôles, y compris ceux rarement observés dans la plupart des logiciels malveillants”, ont déclaré les chercheurs. «Ce type de campagne met en évidence le niveau de sophistication atteint par certains pirates motivés au cours des dernières années.»

Enfin, à l’instar des campagnes Astaroth précédentes, les pirates ont créé une série de chaînes YouTube et exploitent les descriptions des chaînes pour établir et communiquer une liste de domaines de commande et de contrôle (C2) avec lesquels les nœuds de botnet devraient communiquer pour obtenir des instructions supplémentaires et des mises à jour.

“En tant que dernière couche de sophistication, les hackers sont allés jusqu’à exploiter un service largement disponible et inoffensif comme YouTube pour cacher son infrastructure de commande et de contrôle dans un flux chiffré et encodé en Base64”, ont déclaré les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x