lundi 10 août 2020
Promotion Meilleur VPN 2020
Accueil Alertes Backdoor.Lavandos.A : Le keylogger ultime

Backdoor.Lavandos.A : Le keylogger ultime

Le malware “Backdoor.Lavandos.A” est un outil extrêmement ingénieux conçus pour dérober des mots de passe FTP et des identifiants bancaires tout en gardant le profil bas.

Même s’il est spécialement optimisé pour arnaquer les utilisateurs de banque en ligne de certains établissements situés en Russie et l’Ukraine, l’outil ne recule devant rien pour montrer qu’il est à la hauteur pour vous arracher votre compte, et ce, peu importe où vous habitez.

Une fois sur votre système, Backdoor.Lavandos.A se met au travail immédiatement et injecte trois fichiers dll et un driver qui sont contenus dans son fichier binaire, ayant chacun une tâche précise d’une importance absolue pour le fonctionnement impeccable du malware. Celui-ci contrôles que les navigateurs sont installés sur le PC afin de générer pour chaque navigateur un fichier “setupapi.dll” dans le dossier racine d’installation de Mozilla Firefox, des navigateurs Opera et Internet Explorer.

Un autre fichier dll sera créé dans C:\windows\system32\Sfcfiles.dll. Le fichier Sfcfiles.dll d’origine est crypté et a ajouté une valeur de registre dans HKEY_LOCAL_MACHINE\SOFTWARE\Settings\CryptoHash. En outre, il a également ajouté tosfcfiles.dat. Afin d’éliminer tout soupçon, les fichiers modifiés et infectés auront la même taille et les attributs que les fichiers d’origines.

Le keylogger Lavandos créera également un pilote dans % windir%\system32\drivers\sfc.sys. Toutefois – et cela est extrêmement intéressant sur ce logiciel malveillant – le driver ne restera pas sur le disque plus longtemps que nécessaire. Ils seront stockés dans le registre de Windows, plutôt que dans les bianaires pour des raisons de discrétion.


L'intérieur de Lavandos et sa complexité

Les fichiers dll sont utilisés par le malware pour mettre à jour automatiquement le pilote et le charger si nécessaire. Le stockage du pilote dans le registre réduit considérablement les chances de détections pour les services antivirus et empêche donc sa suppression.

Le code de mise à jour est téléchargé à partir d’URL codées en dur qui sont chiffrées et stockés dans HKLM\SOFTWARE\Settings\laboratoires HashSeedBitDefender. La mise à jour est téléchargée à partir de multiples domaines nommés d’après le schéma suivant : http://mv[removed]r.com/vito/page.php, http://at[removed]an.org/Vito/page.php, http://s[removed]ler.net/Vito/page.php, http://se[removed]dm.cn/Vito/page.php, http://a[removed]0.net/vito/page.php, http://g[removed]ks.com/ole21/page.php.

Lorsque lib.dll a chargé le pilote, les données enregistrées dans le registre sous la valeur HKLM\SOFTWARE\Settings\DriveSettings sont déchiffrées et écrites sur le disque dans le fichier : C:\windows\system32\drivers\sfc.sys. Immédiatement après que le pilote a été chargé en mémoire, le fichier est supprimé.

Ce qui est particulièrement intéressant sur ce cheval de Troie est le fait qu’il va télécharger d’autres fichiers dll (15 au total), qu’il ne va pas stocker sur le disque, mais en tant que des données binaires dans le registre de Windows.

Le fichier premier fichier .dll communique en permanence avec le serveur. L’objectif est de maintenir le serveur en permanence via les adresses mises à jour. Lavandos envoie les données d’identification (l’adresse IP, les ports et le nom d’hôte) de l’ordinateur détourné avec les informations recueillies sur le serveur C & C. Ce fichier dll recueille également des noms d’utilisateur et mots de passe des sites bancaires en se fixant sur les fonctions InternetOpenA et InternetopenW du navigateur. Lorsquequ’il a  intercepté avec succès une combinaison d’identifiants, il hache les données et les stocke dans le registre sous HKLK\Software\Microsoft\Windows. Chaque fois qu’il obtient avec succès un nom d’utilisateur et un mot de passe, il va envoyer tout le contenu de la clé de registre ci-dessus via une requête POST vers le serveur C & C.

Le second fichier .dll intercepte les informations de compte FTP, comme le nom d’hôte, l’IP, le port de destination, le nom d’utilisateur et  le mot de passe, qui seront également chiffrées (en utilisant cette fois Base64) et stockées dans la même clé d’enregistrement.

Le troisième fichier .dll cherche des clés de registre créées par le logiciel client FTP spécifique et essaie de lire des clés de Registre utilisées par chaque application distincte pour «mémoriser» le connectioncredentials. La DLL peut reconnaître 14 de l’application la plus importante FTP freeware et commerciale, qui garantit un taux élevé de succès.

Le fichier quatrième fichier.dll est un keylogger qui s’accroche à la fonction TranslateMessage, qui intercepte la touche enfoncée et la stocke dans une mémoire tampon. En outre, il «lit» le nom de classe de la fenêtre de premier plan, s’il est nommé “java.sun.awt.bifit” (bifit – technologies bancaires> et des finances sur internet), les logiciels malveillants prend une capture d’écran et l’enregistre dans le presse-papiers .

Les autres fichiers .dll interceptent diverses fonctions dans les applications bancaires et de propriété qui sont également utilisés pour manipuler les fonctions du navigateur pour importer des certificats ou d’accepter un certificat auto-signé comme étant de confiance.

Bien que le fichier contenant la porte dérobée ne déploie pas un rootkit, il parvient à subvertir des fonctions critiques de Windows et à compromettre la sécurité des navigateurs et des clients FTP. Cette pièce délicate de logiciels malveillants joue toutes ses cartes sur la discrétion absolue en gardant un minimum absolu de fichiers écrits sur le disque et en conservant la transmission de données à l’essentiel.

Certaines informations contenues dans cet article ont été mis à disposition avec courtoisie par la chercheuse Cristina Vatamanu chez BitDefender.

UnderNewshttps://www.undernews.fr/
Administrateur et fondateur du site UnderNews

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

- Advertisment -Express VPN

Derniers articles

400 vulnérabilités pourraient transformer 3 milliards de téléphones Android en espions

L'alerte est donnée : il existe plus de 400 vulnérabilités sur la puce Snapdragon de Qualcomm qui peuvent être exploitées sans l'intervention des propriétaires, explique Slava Makkaveev de Check Point.

Le gouvernement américain met en garde contre une nouvelle souche du virus chinois “Taidoor”

Les agences de renseignement américaines ont publié des informations sur une nouvelle variante du virus informatique vieux de 12 ans utilisé par les pirates informatiques parrainés par l'État chinois et ciblant les gouvernements, les entreprises et les groupes de réflexion.

Vacances d’été : profitez-en pour faire du ménage dans votre vie numérique

Après une longue période de confinement, et avant les vacances d’été, c’est le moment idéal pour effectuer un grand nettoyage ! Cela concerne aussi bien nos placards que notre vie numérique. Petit tour d'horizon et conseils pour se débarrasser de vos déchets  numériques.

36% des Millenials se moquent de la sécurité en ligne

La sécurité en ligne s’impose comme le facteur le plus important pour les Millenials lorsqu’on parle d’usages numériques à la maison. Pourtant, si cette...