Le cheval de Troie Sphinx fait son grand retour

Le cheval de Troie bancaire Sphinx est de retour après avoir été aux abonnés absents pendant près de trois ans.

Selon les chercheurs Amir Gandler et Limor Kessem d’IBM X-Force, Sphinx (alias Zloader ou Terdot) a commencé à refaire surface en Décembre. Cependant, les chercheurs ont observé une augmentation significative de son activité en Mars, alors que les opérateurs de Sphinx cherchaient à profiter de la situation causée par le coronavirus.

sphinx

Observé pour la première fois en août 2015, Sphinx est un malware modulaire basé sur le code source du cheval de Troie bancaire Zeus. Comme d’autres chevaux de Troie bancaires, la capacité principale de Sphinx est de récolter les informations d’identification de compte en ligne pour les sites bancaires (et certains autres services). Lorsque des utilisateurs infectés atterrissent sur un portail bancaire ciblé, Sphinx récupère dynamiquement les injections Web à partir de son serveur de commande et de contrôle (C2) pour modifier la page que l’utilisateur voit, afin que les informations que l’utilisateur entre dans les champs de connexion soient envoyées aux cybercriminels.

En termes de thème, Sphinx se joint à la mêlée croissante des campagnes d’hameçonnage et de spam qui utilise le thème du COVID-19 qui s’intensifient dans le monde entier. Dans les campagnes de Mars, les courriers électroniques indiquent aux cibles qu’elles doivent remplir un formulaire joint pour recevoir des secours du gouvernement contre le coronavirus. Dans les dernières campagnes, Sphinx se propage via des courriers électroniques sur le thème du coronavirus envoyés à des victimes se trouvant aux États-Unis, au Canada et en Australie. Le malware se cache dans des pièces jointes malveillantes nommées “COVID 19 relief”, selon un article du blog X-Force.

«À partir d’une variété de programmes Office, la majorité étant des fichiers .doc ou .docx, ces documents demandent d’abord à l’utilisateur final d’activer l’exécution d’une macro, déclenchant sans le savoir la première étape de la chaîne d’infection», selon l’article. «Une fois que l’utilisateur final accepte et active ces macros malveillantes, le script démarre son déploiement, souvent à l’aide de processus Windows légitimes et piratés qui récupèrent un téléchargeur de logiciels malveillants. Ensuite, le téléchargeur communiquera avec un serveur de commande et de contrôle (C2) à distance et récupérera le malware approprié – dans ce cas, la nouvelle variante de Sphinx. »

Routine d’infection de Sphinx

Une fois que les macros Sphinx sont activées, le document crée un dossier malveillant sous %SYSTEMDRIVE% et y écrit un fichier batch, expliquent les chercheurs dans leur analyse. Le code exécute ensuite le fichier de commandes, puis crée un fichier VBS dans le même dossier.

Le malware utilise ensuite un processus WScript.exe légitime pour exécuter le fichier VBS, ce processus crée un canal de communication avec le serveur C2. Après cela, il télécharge un exécutable malveillant sous la forme d’un fichier de bibliothèque DLL. Ce fichier DLL malveillant est le principal exécutable de Sphinx, qui est également écrit dans le dossier sous %SYSTEMDRIVE%.

Sphinx lui-même est ensuite exécuté à l’aide du processus Regsvr32.exe.

“Au début, le malware crée un processus creux, msiexec.exe, et y injecte son code”, selon Gandler et Kessem. «Cette même étape était utilisée par les anciennes versions de Sphinx pour le déploiement. Il crée le premier dossier sous %APPDATA% et y crée un fichier exécutable. Plus tard, il changera l’extension en .DLL à des fins de persistance. »

De plus, la variante communique avec son serveur C2 à l’aide d’un panneau de contrôle pour les injections web appelé «Tables».

«Le système d’injections web Tables est opérationnel depuis 2014, adapté et principalement utilisé par les chevaux de Troie de type Zeus qui ciblent des entités en Amérique du Nord et en Europe», ont déclaré les chercheurs. «Ce panneau fournit toutes les ressources nécessaires pour que le malware infecte et recupère les informations pertinentes à partir des machines des victimes infectées. Une fois la connexion au panneau Tables établie, Sphinx récupère des fichiers JavaScript supplémentaires pour ses injections Web afin de les adapter à la banque ciblée par l’utilisateur. Les injections sont toutes configurées sur le même domaine avec des scripts JS spécifiques pour chaque banque/cible. »

Et enfin, Sphinx signe le code malveillant à l’aide d’un certificat numérique qui le valide, ce qui lui permet de rester plus facilement indétectable pour les outils antivirus courants lorsqu’il est injecté dans les processus du navigateur.

dridex 5ss5c

Selon les chercheurs, la variante de logiciel malveillant utilisée n’est que légèrement différente des variantes précédemment observés dans les campagnes plus anciennes. Par exemple, le logiciel malveillant crée une clé d’exécution dans le Registre, de sorte que le fichier DLL soit déclenché à l’aide du processus Regsrv32.exe. Le malware crée également deux entrées de registre sous HKCU\Software\Microsoft\, chacune contenant une clé qui contient une partie de sa configuration.

Les campagnes d’infection sur le thème du coronavirus continuent de se multiplier. Il s’agit notamment d’attaques de logiciels malveillants, d’URL piégées et de vols d’informations d’identification. Les groupes de cybercriminels voient cette pandémie comme une aubaine pour propager des logiciels malveillants d’exfiltration de données – en particulier avec l’augmentation d’entreprises qui adopte le télé-travail à cause du virus.

Si cet article vous a plu, jetez un œil à notre article précédent.