Metamorfo fait son retour avec une fonction de keylogger

Des chercheurs ont découvert une campagne récente d’e-mails d’hameçonnage distribuant une nouvelle variante de Metamorfo, un logiciel malveillant connu pour cibler les entreprises brésiliennes. Le malware semble avoir élargit sa surface d’attaque géographique et inclus une nouvelle fonction.

Metamorfo a été découvert pour la première fois en avril 2018, dans diverses campagnes qui partagent des points communs (comme l’utilisation de la stratégie de spam «spray and pray»). Ces campagnes sont cependant toutes différentes.

Cette nouvelle variante, qui cible les données et les informations d’identification des cartes de paiement dans les institutions financières dotées de plates-formes Windows, propose une nouvelle astuce. Une fois exécuté, le malware désactive les champs de saisie automatique de données dans les navigateurs, forçant les victimes à entrer leurs mots de passe manuellement. Le logiciel malveillant enregistre ensuite le mot de passe grâce à son keylogger (enregistreur de frappe).

Il a également évolué sur d’autres points: “Metamorfo est une famille de logiciels malveillants qui a été observée ciblant les clients des institutions financières en ligne”, a déclaré le chercheur Xiaopeng Zhang, FortiGuard Labs de Fortinet, dans un article. «Cette… variante Metamorfo cible les clients d’institutions financières dans plusieurs pays.»

Infection de Metamorfo

La variante récente est d’abord diffusée via des e-mails d’hameçonnage qui distribuent une archive ZIP contenant un fichier MSI (nommé «view- (AVISO) 2020.msi»). Les chercheurs ont analysé le flux de ce fichier MSI (une séquence d’octets écrits dans des fichiers, donnant plus d’informations sur leurs attributs) et ont trouvé du code JavaScript mélangé à une large bande de chaînes de caractères.

Le code extrait et dés-offusqué a révélé que le fichier MSI télécharge un fichier ZIP à partir d’une URL. Le fichier s’ajoute ensuite au groupe d’exécution automatique dans le registre système de la victime pour s’assurer qu’il s’exécute automatiquement au démarrage du système infecté. Ce fichier ZIP contient également trois fichiers («cMejBlQe.exe», «M6WnYxAh» et «YvSVUyps.dll») qui sont décompressés dans un dossier nouvellement créé et renommés avec des chaînes aléatoires, qui exécutent ensuite un programme d’exécution de script AutoIT.

metamorfo

Les chercheurs ont déclaré qu’AutoIt, un langage de programmation gratuit pour Microsoft Windows, avait été utilisé par diverses familles de logiciels malveillants dans le passé comme méthode pour les aider à contourner les détections d’antivirus.

La ligne de commande charge enfin un code de fichier DLL avec le payload. Tout ceci est protégé par un packer, VMProtect, qui est un «packer très puissant qui prend en charge la protection de code dynamique lorsque le processus cible est en cours d’exécution», ont déclaré les chercheurs de FortiGuard. «Cela crée un gros challenge pour les analystes. Par exemple, toutes les adresses API sont masquées et sont calculées dynamiquement avant d’être appelé. »

Les astuces de Metamorfo

Dans une nouvelle stratégie, une fois que Metamorfo est exécuté, il arrête les navigateurs en cours d’exécution (y compris Internet Explorer, Mozilla Firefox, Google Chrome, Microsoft Edge et Opera), puis modifie les diverses clés de registre pour désactiver les fonctions d’Internet Explorer, comme la saisie automatique et l’auto-suggestion.

Le malware a également la possibilité d’afficher une fenêtre demandant à la victime de saisir son mot de passe. Les chercheurs ont déclaré que ces deux fonctionnalités permettent au logiciel malveillant d’enregistrer les mots de passe des victimes lorsqu’elles les écrivent manuellement, ce qui permet aux opérateurs de logiciels malveillants de garder un œil sur les mots de passe même s’ils sont modifiés.

“A quoi ça sert de fermer les navigateurs et de désactiver leurs fonctions de saisie automatique et de suggestion automatique? Cette action oblige la victime à saisir manuellement les données sans saisie semi-automatique, telles que les URL entières, ainsi que le nom d’utilisateur, le mot de passe, etc. dans le navigateur », a déclaré Zhang. “Cela permet à la fonction keylogger (enregistreur de frappe) du logiciel malveillant d’enregistrer le plus grand nombre d’actions à partir des entrées de la victime.”

Le malware a également pu afficher un faux message à la victime lui demandant d’entrer les codes de confirmation de sécurité qu’elle avait reçu, dans une stratégie délicate pour les attaquants de contourner l’authentification à deux facteurs (2FA), a déclaré Zhang.

metamorfo

“Parfois, les sites Web financiers utilisent 2FA (l’authentification à 2 facteurs) pour protéger leurs clients, comme l’envoi d’un code de sécurité par SMS ou e-mail au client, puis la vérification de l’entrée du client sur le site Web”, a-t-il déclaré. «Étant donné que le pirate n’a pas pu obtenir le code, la vérification échouera. Cette souche de malware demande donc ce code à la victime en affichant un faux message. »

Au-delà de cette technique, l’arsenal de capacités du malware est similaire à des variantes plus anciennes: il collecte des informations telles que la version du système d’exploitation, le nom de l’ordinateur, le logiciel antivirus installé et bien d’autres informations à partir des systèmes de la victime. Il crée également des tâches pour surveiller les adresses de portefeuille Bitcoin dans le presse-papier du système et pour détecter si la victime accède ou non au site Web d’une institution financière.

Ce retour de Metamorfo survient peu après le retour du malware CamuBot, également connu pour cibler les clients des banques brésiliennes. Dans une série d’attaques hautement personnalisées, CamuBot cible les applications bancaires mobiles des victimes pour échapper à la détection lors de transferts frauduleux.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x