Le malware IcedID booste ses capacités d’évasion

Une nouvelle version du cheval de Troie bancaire IcedID a fait ses débuts et inclut de la stéganographie – la pratique de cacher le code dans les images – afin d’infecter furtivement les victimes. Le malware a également modifié son processus d’écoute des activités Web des victimes.

Des chercheurs de Juniper Threat Labs ont découvert une campagne de spam par courrier électronique circulant pour propager le malware. Les e-mails utilisent comme thème la pandémie de COVID-19.

Les pièces jointes sont remplies de macros malveillantes qui, si elles sont ouvertes, exécutent le cheval de Troie bancaire IcedID, qui existe depuis 2017. IcedID est spécialisé dans les attaques man-in-the-browser pour intercepter et voler des informations financières aux victimes. Dans cette dernière campagne, il récolte les informations d’identification et les données de carte de paiement d’Amazon.com, American Express, AT&T, Bank of America, Capital One, Chase, Discover, eBay, E-Trade, JP Morgan, Charles Schwab, T-Mobile, USAA, Verizon Wireless, Wells Fargo et autres.

Cette dernière variante modifie ses tactiques d’infection en injectant dans msiexec.exe pour s’insérer dans le trafic du navigateur et en utilisant la stéganographie complète pour télécharger ses modules et configurations, ont déclaré les chercheurs.

«Les versions précédentes d’IcedID étaient injectées dans svchost.exe et téléchargeaient des modules chiffrés et des configurations en tant que fichiers .DAT», selon un article publié précédemment.

La stéganographie à l’oeuvre

Lorsqu’un utilisateur ouvre le document malveillant, il lance un fichier binaire de première étape, qui à son tour récupère un chargeur de deuxième étape. Le but de ce deuxième chargeur est de télécharger un autre chargeur, qui récupère un autre morceau de code de troisième étape

«[Le chargeur du deuxième étage] se décompresse d’abord en lisant un fichier binaire intégré à sa ressource, en le déchiffrant et en l’exécutant en mémoire. Il s’exécutera ensuite en boucles sur [plusieurs] domaines, en utilisant des requêtes WinHTTP », selon l’analyse. «Toutes les… requêtes sont normales, à l’exception de connuwedro[.]xyz. Il fait cela pour échapper à la détection en essayant de se fondre dans le trafic normal. »

Les requêtes recherchent une réponse spécifique de connuwedro[.]xyz qui contient un fichier image .PNG avec la balise «IDAT». Le chargeur déchiffre ensuite ce fichier .PNG à l’aide de l’algorithme RC4 et exécute le binaire qui y est intégré.

Le binaire – un chargeur de troisième étape qui installe enfin IcedID sur la machine cible – est enregistré dans le dossier %APPDATA% et, pour la persistance, il crée une tâche planifiée qui s’exécutera toutes les heures.

icedid

“Semblable à la deuxième étape, il applique la même technique de déballage et d’utilisation de la stéganographie”, selon Juniper. «Il décompresse un binaire intégré dans sa ressource et l’exécute. Une fois déballé, il téléchargera le module principal IcedID sous forme de fichier .PNG. »

L’image est enregistrée dans un répertoire, incorporé avec le module principal IcedID chiffré. L’image présente quelques astuces pour contrecarrer l’analyse, a noté Juniper.

“L’algorithme de chiffrement est RC4 et les clés sont également intégrées dans l’image”, selon l’article. «Le code déchiffré n’est pas une image PE (Portable Executable) complète, car il ne contient aucune en-tête. La plupart de ses chaînes sont également chiffrées, ce qui rend l’analyse encore plus difficile. »

Injecter dans Msiexec.exe

Le module principal génère d’abord un processus suspendu à l’aide de msiexec.exe – MSI est un format de fichier de package d’installation légitime utilisé par Windows pour déployer des applications. Ensuite, IcedID émet une série d’appels d’API pour s’injecter dans ce processus distant.

“L’utilisation de msiexec.exe /i {nom aléatoire}.msi est une technique simple pour essayer de se cacher et de ressembler à une installation normale d’une application MSI”, ont déclaré les chercheurs.

icedid

Le code du module principal IcedID injecté dans le processus msiexec.exe est ensuite transmis à un serveur de commande et de contrôle (C2) et attend les commandes, qui incluent le téléchargement des mises à jour de configuration, l’exécution de code et de fichiers supplémentaires, le téléchargement de fichiers, la collecte d’informations système – et , le plus important – extraire les mots de passe stockés dans les navigateurs et les applications de messagerie.

Ensuite, il surveille les utilisateurs qui se connectent – en particulier en ouvrant Firefox, Chrome ou Internet Explorer. Si la victime ouvre une fenêtre de navigateur, IcedID crée un proxy local qui écoute sur 127.0.0.1:56654, accroche des API sur les navigateurs et génère un certificat auto-signé dans le dossier %TEMP%.

“Avec ces trois choses, toutes les connexions au navigateur sont transmises par proxy à msiexec.exe et cela permet un contrôle total du navigateur”, ont expliqué les chercheurs. “Il surveillera l’activité du navigateur liée aux transactions financières et injectera des formulaires à la volée pour essayer de voler les détails de carte de crédit.”

La dernière version d’IcedID présente plusieurs couches de sophistication, selon l’analyse, y compris l’utilisation de msiexec, la stéganographie complète et l’approche consistant à utiliser la communication mixte avec le trafic normal pour se cacher. Ceci, combiné à l’utilisation de HTTPS et du chiffrement des chaînes de caractère, montre que l’objectif des développeurs du malware était principalement de renforcer les capacités d’anti-détection du malware dans cette version, ont déclaré les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.