G Data analyse un malware qui raffole des webmail

Publié le 14 août 2014

Win32.Trojan.IcoScript.A a fini de jouer à cache-cache. En effet, depuis 2012, ce programme malveillant réussit à passer entre les mailles du filet des antivirus sans laisser la moindre trace, mais sa filature prend fin puisque les experts en sécurité informatique viennent tout juste de l’intercepter. Focus sur ce malware pas comme les autres.

Win32.Trojan.IcoScript.A et son fonctionnement

Ce malware est un outil d’administration à distance tout à fait classique (RAT). Mais sa particularité réside dans le fait qu’il communique d’une façon inhabituelle avec son serveur de contrôle. Extrêmement modulaire, Win32.Trojan.IcoScript.A touche les plateformes Internet les plus populaires comme Yahoo ou Gmail, afin de les commander et de prendre le contrôle sur les diverses communications. Unique en son genre, G Data, plus particulièrement Paul Rascagneres, a analysé le fonctionnement de ce malware ; ses différentes techniques sont présentées dans les paragraphes qui suivent.

COM ou le point d’entrée

L’interface de communication inter-processus conçu par Windows ou COM – pour Component Object Model – est une technologie qui permet aux développeurs de contrôler les navigateurs. Elle est alors très prisée des cybercriminels qui n’hésitent pas à créer des programmes malveillants pour manipuler les navigateurs des internautes.

La manipulation du navigateur

Afin de comprendre comment est manipulé le navigateur par Win32.Trojan.IcoScript.A, nous devons d’abord analysé la technologie COM lorsqu’elle n’est pas infectée. Voici ci-dessous un aperçu de COM pour avoir le contenu d’une page web :

Dans le cas de Win32.Trojan.IcoScript.A, celui-ci utilise les fonctions CoInitialize () (indiqué par OleInitialize () dans l’exemple ci-dessus) et CoCreateInstance (). Le premier sert à initialiser la bibliothèque COM dans l’unité d’exécution du processeur, tandis que le deuxième sert à représenter l’objet, associé à un CLSID spécifique, qui doit être manipulé. Ainsi dans l’exemple ci-dessus, il s’agit d’Internet Explorer.

Le fonctionnement de Win32.Trojan.IcoScript.A

La mise en route du malware et son cheminement est dû à un langage en script crée par les cybercriminels. Ce script est crypté et est caché dans un fichier additionnel perçu comme un fichier de configuration. Voici un aperçu de ce script :

Afin de déchiffrer ces données, G Data est passé par un script Python, qui est un langage de programmation spécialisée objet. En voici un aperçu :

Le script décrypté, G Data se retrouve face à une action qui se déroule étape par étape. Chacune d’entre elles est représentée par une équation mettant en scène une variable qui est égale à une valeur. Souvent cette valeur correspond à une liste d’actions à réaliser. Le tableau ci-dessous permet de comprendre ce qui peut se passer durant la lecture du script :

Son aspect modulaire

Le script pris en exemple ci-dessus est un exemple. Ainsi G Data a analysé un cas où c’est le service de messagerie Yahoo qui est touché ; mais Win32.Trojan.IcoScript.A peut infecter d’autres messageries comme Gmail ou des services de réseaux sociaux comme Facebook ou LinkedIn. Ce choix n’est pas pris au hasard. En effet les cybercriminels savent qu’ils ne s’agissent pas de sites blacklistés et ont donc mis au point un système modulaire.
Extrêmement intelligent, les solutions de sécurité sont face à un malware qui peut toucher plus d’une centaine de services de messagerie en utilisant des ID et des mots de passe semblables à des vrais. Cela rend donc la tâche difficile aux systèmes de détection d’intrusion (IDS).

Comment y remédier ?

Win32.Trojan.IcoScript.A n’est pas un RAT comme les autres. Modulaire, difficile à cerner et crypté, ce malware est la référence en termes de communication entre machines infectées et serveurs de contrôle. Par ailleurs, il touche les sites accessibles à tous et depuis n’importe quel ordinateur ; ce qui rend leur blocage impossible par les IDS.

La solution peut être une détection du code installé sur le poste en temps réel ; toutefois ce processus est difficile à réaliser… Aujourd’hui, les éditeurs de suites de sécurité penchent toujours sur la question, et G Data avance qu’il existe une réelle solution puisque le code a été détecté.

Sources