La campagne AZORult adopte un nouveau chiffrement

Une récente vague de spam AZORult a attiré l’attention des chercheurs qui ont signalé que des fichiers joints malveillants associés à la campagne utilisent une nouvelle technique d’offuscation pour essayer de passer les passerelles anti-spam et éviter la détection antivirus côté client.

Ce qui rend cette campagne unique est l’utilisation d’un downloader AZORult à triple-cryptage.

AZORult est un cheval de Troie d’accès à distance populaire sur les forums Russes. Il a été détecté le mois dernier dans une campagne de spam perpétré par un hacker qui semble aimé le rappeur Drake.

Les messages contenant le malware AZORult sont inintéressants, selon Jan Kopriva, contributeur du blog Internet Storm Center. Cependant, il a ajouté que l’utilisation de 3 couches de chiffrement pourrait présenter un défi pour les outils de signature digitale et de détection heuristique.

“Distribué en tant que fichier joint de spam, le fichier DOC ne semblait pas être spécial au premier coup d’œil. Cependant, bien qu’il utilise aussi des macros, ce n’est pas le simple DOC malveillant auquel on est habitué,” a écrit Kopriva.

La chaîne d’infection commence avec un e-mail d’hameçonnage typique demandant “une liste de produit”, par exemple. Un fichier qui semble être un document Microsoft Office Word (DOC) est joint à l’e-mail mais il s’avère être un fichier Rich Text File (RTF).

Si quelqu’un est assez crédule pour cliquer sur le fichier nommé “DOC” dans le message, le fichier RTF s’ouvre. Tout de suite après l’ouverture, 4 tableurs Excel identiques intégrés en tant qu’objets OLE dans le corps RTF sont produits. Quand les documents Excel s’ouvrent, l’utilisateur est bombardé de requêtes pour activer les macros de chaque document Excel.

“L’affichage de tout ces pop-ups serait probablement l’une des méthodes les plus efficaces pour pousser les utilisateurs à autoriser les macros à s’exécuter, car ils pourraient penser que ce serait le seul moyen d’empêcher l’affichage d’autres fenêtres,” a écrit Kopriva.

azorult

Dans ce cas-là, les hackers affichent les instances Excel en abusant du mécanisme «\ objupdate» inhérent aux fichiers RTF qui permet aux «objets» de se mettre à jour avant de s’afficher.

Si les macros sont activées dans l’un des documents Excel, un payload est déchiffré, décodé et exécuté en utilisant une commande shell Visual Basic pour Applications. “Ce qui est intéressant c’est que le payload, qui était sensé être déchiffré, n’était pas inclus dans la macro elle-même mais plutôt dans l’une des cellules (136,8) du tableur,” a expliqué Kopriva.

La prochaine phase de déchiffrement se produit quand le premier payload est exécuté et se convertit en une deuxième enveloppe de déchiffrement, cette fois-ci un PowerShell. Le chercheur précise que le second niveau de chiffrement, comme le premier, n’était pas complexe et sert plutôt de mécanisme d’offuscation.

Le payload est programmé en code C#, il est offusqué, conçu pour “télécharger un fichier depuis un serveur distant, le sauvegarder sous le nom c2ef3.exe dans le dossier AppData et l’exécuter.”

Le troisième niveau de chiffrement se manifeste dans le lien utilisé par le dropper pour télécharger le malware AZORult. Le lien vers le fichier distant était protégé avec un troisième niveau de chiffrement utilisant le même algorithme que nous avons vu dans l’enveloppe PowerShell.

Kopriva précise aussi que le code C# essaye de contourner le scan Anti-Malware de Microsoft en utilisant une technique de correction de la mémoire qui a été identifié pour la première fois par les chercheurs de CyberArk en 2018 et est utilisée fréquemment.

“Avec l’utilisation de Word, Excel, PowerShell et trois niveaux de chiffrement, ce downloader est beaucoup plus intéressant que les fichiers joints habituelles des spams,” a écrit le chercheur.

AZORult est unique

La campagne de spam AZORult est unique mais nous ne savons pas vraiment à quel point cette technique d’offuscation est efficace.

“Je pense que ce triple chiffrement pourrait être un peu plus efficace que la plupart des techniques d’offuscation car elle est appliquée plusieurs fois à plusieurs niveaux (la première instance de l’algorithme de chiffrement était dans la macro VBA et la seconde et la troisième dans le PowerShell/C#). N’importe quel sandboxing vaincra cette technique comme pour la plupart des mécanismes d’offuscation mais ce n’est pas une mauvaise méthode pour battre les outils de signature digitale et de détection heuristique,” a déclaré Kopriva.

Si cet article sur AZORult vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de