Présentation
Les chevaux de Troie bancaires poursuivent leur évolution et les pirates font preuve d'imagination pour les exploiter de différentes manières, même si les campagnes Dridex massives en 2015 ont laissé la place aux ransomware et autres charges utiles. Dernièrement, nous avons pu observer plusieurs campagnes par e-mails relativement importantes propageant le cheval de Troie bancaire Kronos. Dans ces campagnes, Kronos jouait toutefois le rôle de chargeur d'un nouveau logiciel malveillant pour Point de vente (POS, ou Point-of-Sale) dont la charge utile secondaire est surnommée ScanPOS.
Ces campagnes traduisent non seulement une accélération du nombre d'instances de Kronos observées, mais aussi une nouvelle manière d'exploiter ce logiciel malveillant, apparu pour la première fois en juin 2014 et que nous avons récemment décrit dans le cadre des campagnes visant le Canada [1].
Campagnes d'e-mails
Les 10 et 14 novembre derniers, Proofpoint a observé plusieurs campagnes d'e-mails de vaste envergure incluant chacune des milliers de messages et ciblant un large éventail de marchés verticaux (hôtellerie, enseignement supérieur, services financiers et soins médicaux). La Figure 1 présente les différents volumes par secteur d'activité.
Figure 1 : Secteurs ciblés par les différentes campagnes
Ces campagnes ciblaient un public international, mais avant tout le Royaume-Uni et l'Amérique du Nord.
Les messages électroniques incluaient une pièce jointe ou un lien tel que hxxp://intranet.excelsharepoint[.]com/profile/Employee[.]php?id=[adresse e-mail codée en base 64]. Contrôlé par les pirates, ce domaine prétend être associé à Microsoft SharePoint. Un clic sur ce lien et l'utilisateur télécharge un document malveillant (Figures 2 et 3).
Figure 2 : E-mail contenant uniquement une pièce jointe malveillante
Figure 3 : E-mail contenant une pièce jointe malveillante et un lien conduisant à un document malveillant
Les documents examinés contenaient une macro téléchargeant Kronos [2] par le biais d'une URL telle que hxxp://info.docs-sharepoint[.]com/officeup[.]exe. La charge utile de Kronos était associée à l'adresse d'un serveur de Commande et Contrôle (C&C) hxxp://www.networkupdate[.]club/kbps/connect[.]php. Les charges utiles de Kronos recevaient l'instruction de télécharger au moins trois charges utiles distinctes via les URL suivantes :
- hxxp://networkupdate[.]online/kbps/upload/c1c06f7d[.]exe - Smoke Loader
- hxxp://networkupdate[.]online/kbps/upload/1f80ff71[.]exe - Smoke Loader
- hxxp://networkupdate[.]online/kbps/upload/a8b05325[.]exe - ScanPOS
Figure 4 : Document malveillant contenant la macro du leurre « Activer le contenu »
Les deux charges utiles Smoke Loader [3] étaient configurées pour utiliser l'adresse du serveur C&C hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php. Pour l'instant, nous n'avons pas observé d'autres charges utiles associées à ces deux variantes de Smoke Loader. Toutefois, comme l'indique la section suivante, nous avons décelé qu'une autre variante de Smoke Loader téléchargeait une charge utile de la variante ZeuS via le même serveur C&C.
La troisième charge utile décelée est un nouveau logiciel malveillant pour POS (Point-of-Sale) appelé ScanPOS, capable d'exfiltrer via HTTP (Figure 5) les numéros de carte bancaire présents dans la mémoire des processus en exécution. Cette nouvelle variante pour POS ne présente qu'une seule adresse de serveur C&C, codée en dur : hxxp://invoicesharepoint[.]com/gateway[.]php. Comme pour plusieurs autres domaines décrits ici, ceux-ci prétendent être associés à Microsoft SharePoint alors que ce n'est pas le cas, car ils sont contrôlés par les auteurs de l'attaque.
Encodées en base 64, les données exfiltrées incluent les éléments suivants :
- Données de suivi volées
- Processus dans lequel les données ont été détectées
- Nom de l'utilisateur
Pour consulter une analyse plus technique de cette nouvelle variante pour POS, reportez-vous à l'article relatif à sa découverte, publié par nos collègues de la société Morphick [4].
Figure 5 : ScanPOS exfiltrant des données de carte bancaire via HTTP
Autre activité
Le 8 novembre dernier, lors d'une campagne précédent cette activité, nous avons observé des e-mails et des URL similaires, répondant au même mode opératoire que ceux propageant Kronos. Cette campagne incluait toutefois des liens conduisant au Kit d'exploit RIG-v, suivi d'une redirection vers un fichier compressé au format ZIP incluant Smoke Loader et ZeuS. Les liens suivaient un modèle très proche de celui des campagnes plus récentes : hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[adresse e-mail codée en base 64]. Ces liens utilisaient un iframe pour rediriger les éventuelles victimes vers une instance de RIG-v située à l'adresse add.souloventure[.]org et vers /download.php sur le même serveur que le lien d'origine (Figure 6).
Figure 6 : Iframe redirigeant vers RIG-v et téléchargement d'une charge utile
Nous n'avons malheureusement détecté aucune charge utile propagée par cette chaîne de redirection particulière. La chaîne /download.php renvoie la charge utile EmployeeID-47267.zip déjà observée et qui contient soit une variante de Smoke Loader utilisant le serveur C&C hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php, soit une variante de ZeuS utilisant le serveur C&C hxxps://feed.networksupdates[.]com/feed/webfeed[.]xml. Dans l'instance qui contenait Smoke Loader, celui-ci téléchargeait une variante de ZeuS similaire (même hachage).
Conclusion
Les campagnes qui propagent ScanPOS ciblent surtout le secteur de l'hôtellerie en Amérique du Nord et au Royaume-Uni, entre autres pays observant les congés de Noël et/ou de Thanksgiving. À l'approche de ces fêtes et de leurs périodes de déplacements et d'achats intenses, les organisations doivent rester particulièrement vigilantes et notamment surveiller une éventuelle infection par les logiciels malveillants pour POS, les chevaux de Troie bancaires et autres logiciels malveillants susceptibles d'exploiter ces comportements saisonniers. Nous continuerons à surveiller les campagnes Kronos, la propagation de ScanPOS et les autres menaces à mesure qu'elles émergent.
Références
- https://www.proofpoint.com/us/threat-insight/post/banking-trojans-dridex-vawtrak-others-increase-focus-on-canada
- https://securityintelligence.com/the-father-of-zeus-kronos-malware-discovered/
- https://blog.malwarebytes.com/threat-analysis/2016/08/smoke-loader-downloader-with-a-smokescreen-still-alive/
- http://www.morphick.com/resources/lab-blog/scanpos-new-pos-malware-being-distributed-kronos
Indicateurs de compromission (IOC)
| IOC | Type d'IOC | Description |
|---|---|---|
| hxxp://invoice.docs-sharepoint[.]com/profile/profile[.]php?id=[adresse e-mail codée en base 64] | URL | Lien de phishing observé le 8 novembre |
| hxxp://invoice.docs-sharepoint[.]com/profile/download[.]php | URL | Redirection depuis le lien de phishing du 8 novembre |
| 4b5f4dbd93100bb7b87920f2f3066782a8449eb9e236efc02afe570c1ce70cf5 | SHA256 | Charge utile EmployeeID-47267.zip contenant une variante de SmokeLoader issue de la chaîne /download.php du 8 novembre |
| 90063c40cb94277f39ca1b3818b36b4fa41b3a3091d42dfc21586ad1c461daa0 | SHA256 | Charge utile EmployeeID-47267.pif SmokeLoader |
| 711431204071b1e6f5b5644e0f0b23464c6ef5c254d7a40c4e6fe7c8782cd55c | SHA256 | Charge utile EmployeeID-47267.zip contenant une variante de ZeuS issue de la chaîne /download.php du 8 novembre |
| 4ba3913d945a16c099f5796fdeef2fda5c6c2e60cb53d46a1bfae82808075d74 | SHA256 | Charge utile EmployeeID-47267.pif ZeuS |
| hxxps://feed.networksupdates[.]com/feed/webfeed.xml | URL | Serveur C&C de ZeuS le 8 novembre |
| add.souloventure[.]org | Domaine | Domaine RIG-v le 8 novembre |
| hxxp://intranet.excelsharepoint[.]com/profile/Employee[.]php?id=[adresse e-mail codée en base 64] | URL | Lien de phishing observé le 10 novembre |
| a78b93a11ce649be3ca91812769f95a40de9d78e97a627366917c4fcd747f156 | SHA256 | Fichier EmployeeID-847267.doc téléchargé via les liens de phishing du 10 novembre |
| hxxp://info.docs-sharepoint[.]com/officeup[.]exe | URL | Fichier EmployeeID-847267.doc téléchargeant la charge utile (Kronos) le 10 novembre |
| e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855 | SHA256 | Kronos observé le 10 novembre |
| hxxp://www.networkupdate[.]club/kbps/connect[.]php | URL | Serveur C&C de Kronos le 10 novembre |
| hxxp://networkupdate[.]online/kbps/upload/c1c06f7d[.]exe | URL | Charge utile téléchargée par Kronos le 10 novembre |
| hxxp://networkupdate[.]online/kbps/upload/1f80ff71[.]exe | URL | Charge utile téléchargée par Kronos le 10 novembre |
| hxxp://networkupdate[.]online/kbps/upload/a8b05325[.]exe | URL | Charge utile téléchargée par Kronos le 10 novembre |
| d0caf097ea0350dc92277aed73b0f44986d7d85b06d1d17b424dc172ce35a984 | SHA256 | c1c06f7d.exe - SmokeLoader |
| d9d1f02c8c4beee49f81093ea8162ce6adf405640ccacd5f03ce6c45e700ee98 | SHA256 | 1f80ff71.exe - SmokeLoader |
| hxxp://webfeed.updatesnetwork[.]com/feedweb/feed[.]php | URL | Serveur C&C de SmokeLoader |
| 093c81f0b234c2aa0363129fdaaaf57551f161915da3d23f43a792b5f3024c1e | SHA256 | a8b05325.exe - ScanPOS |
| hxxp://invoicesharepoint[.]com/gateway[.]php | URL | Serveur C&C de ScanPOS |
| hxxp://intranet.excel-sharepoint[.]com/doc/employee[.]php?id=[adresse e-mail codée en base 64] | URL | Lien de phishing observé le 14 novembre |
| fd5412a7c71958ecdffa7064bf03c5f1931e561a1e71bc939551d5afb8bf7462 | SHA256 | Téléchargé via les liens de phishing du 14 novembre |
| hxxp://profile.excel-sharepoint[.]com/doc/office[.]exe | URL | Fichier EmployeeID-6283.doc téléchargeant la charge utile (Kronos) le 14 novembre |
| 269f88cfa9e9e26f3761aedee5d0836b5b82f346128fe03da28a331f80a5fba3 | SHA256 | Kronos observé le 14 novembre (même serveur C&C que le précédent) |
Couverture ET et ETPRO Suricata/Snort
2018125 ET CURRENT_EVENTS SUSPICIOUS .PIF File Inside of Zip
2020077 ET TROJAN Kronos Checkin M2
2020080 ET TROJAN Kronos Checkin
2022124 ET TROJAN Win32.Sharik Microsoft Connectivity Check
2022550 ET CURRENT_EVENTS Possible Malicious Macro DL EXE Feb 2016
2023196 ET CURRENT_EVENTS RIG EK Landing Sep 12 2016 T2
2023401 ET CURRENT_EVENTS RIG EK URI struct Oct 24 2016 (RIG-v)
2816808 ETPRO CURRENT_EVENTS RIG EK Flash Exploit Mar 29 2016
2823254 ETPRO TROJAN ScanPOS Exfiltrating CC Data
2823288 ETPRO TROJAN Zeus Variant CnC SSL Cert