Une nouvelle version de COMpfun utilise les codes HTTP

Une nouvelle version du cheval de Troie d’accès à distance COMpfun (RAT) a été découverte dans la nature. Cette version utilise des codes HTTP pour contrôler les systèmes compromis. Une récente campagne a utilisé ce logiciel malveillant pour cibler des entités gouvernementales européennes.

COMpfun s’est propagé via un dropper initial qui se fait passer pour une demande de visa, a découvert la Global Research and Analysis Team de Kaspersky.

Le malware semble être lié au groupe APT Turla, un groupe basé en Russie, qui mène depuis longtemps des attaques d’espionnage dans divers secteurs, notamment les gouvernements, les ambassades, l’armée, l’éducation, la recherche et les sociétés pharmaceutiques.

COMpfun a été découvert en 2014

Documenté pour la première fois par G-Data en 2014, COMpfun a reçu une mise à niveau significative l’année dernière (appelée “Reductor”) après que Kaspersky ait découvert que le malware avait été utilisé pour espionner l’activité du navigateur d’une victime en mettant en place des attaques de type man-in-the-middle (MitM) sur le trafic Web chiffré via une modification dans le générateur de nombres aléatoires (PRNG) du navigateur.

compfun

En plus de fonctionner comme un RAT complet capable de capturer des frappes de clavier, des captures d’écran et d’exfiltrer des données sensibles, cette nouvelle variante de COMpfun surveille tous les périphériques USB amovibles connectés aux systèmes infectés pour se propager et reçoit des commandes d’un serveur contrôlé par le pirate sous la forme de codes HTTP.

“Nous avons observé un protocole de communication C2 intéressant utilisant des codes HTTP/HTTPS rares”, ont déclaré les chercheurs. “Plusieurs codes HTTP (422-429) de la classe Client Error indiquent au cheval de Troie ce que les opérateurs veulent faire. Une fois que le serveur de contrôle a envoyé l’état” Paiement requis “(402), toutes les commandes reçues précédemment sont exécutées.”

Les codes HTTP sont des réponses normalisées émises par un serveur en réponse à une requête d’un client adressé au serveur. En émettant des commandes à distance sous forme de codes, l’idée est de masquer toute détection d’activité malveillante lors de l’analyse du trafic Internet.

compfun

“Les auteurs conservent la clé publique RSA et l’unique ETag HTTP dans les données de configuration chiffrées. Créé pour des raisons de mise en cache du contenu Web, ce marqueur pourrait également être utilisé pour filtrer les demandes indésirables vers le serveur C2, par exemple celles provenant de scanners réseau plutôt que de cibles.”

“Pour exfiltrer les données de la cible vers le serveur C2 via HTTP/HTTPS, le malware utilise le chiffrement RSA. Pour masquer les données localement, le cheval de Troie implémente la compression LZNT1 et le chiffrement XOR à un octet.”

compfun

Bien que le mode opératoire exact derrière la façon dont la requête de visa malveillante est délivrée à une cible reste incertain, le dropper initial, lors du téléchargement, exécute la prochaine étape du logiciel malveillant, qui communique avec le serveur de commande et de contrôle (C2) à l’aide d’un module HTTP.

“Les opérateurs de logiciels malveillants se sont penchés sur les entités diplomatiques et le choix d’une application liée aux visas stockée dans un répertoire partagé au sein du réseau local car le vecteur d’infection initial a joué en leur faveur”, ont conclu les chercheurs de Kaspersky.

“La combinaison d’une approche personnalisée de leurs objectifs et la capacité de générer et d’exécuter leurs idées font certainement des développeurs derrière COMpfun une solide équipe offensive.

Si cet article vous a plu, jetez un œil à notre article précédent.