Le malware “Backdoor.Lavandos.A” est un outil extrêmement ingénieux conçus pour dérober des mots de passe FTP et des identifiants bancaires tout en gardant le profil bas.
Même s’il est spécialement optimisé pour arnaquer les utilisateurs de banque en ligne de certains établissements situés en Russie et l’Ukraine, l’outil ne recule devant rien pour montrer qu’il est à la hauteur pour vous arracher votre compte, et ce, peu importe où vous habitez.
Une fois sur votre système, Backdoor.Lavandos.A se met au travail immédiatement et injecte trois fichiers dll et un driver qui sont contenus dans son fichier binaire, ayant chacun une tâche précise d’une importance absolue pour le fonctionnement impeccable du malware. Celui-ci contrôles que les navigateurs sont installés sur le PC afin de générer pour chaque navigateur un fichier “setupapi.dll” dans le dossier racine d’installation de Mozilla Firefox, des navigateurs Opera et Internet Explorer.
Un autre fichier dll sera créé dans C:\windows\system32\Sfcfiles.dll. Le fichier Sfcfiles.dll d’origine est crypté et a ajouté une valeur de registre dans HKEY_LOCAL_MACHINE\SOFTWARE\Settings\CryptoHash. En outre, il a également ajouté tosfcfiles.dat. Afin d’éliminer tout soupçon, les fichiers modifiés et infectés auront la même taille et les attributs que les fichiers d’origines.
Le keylogger Lavandos créera également un pilote dans % windir%\system32\drivers\sfc.sys. Toutefois – et cela est extrêmement intéressant sur ce logiciel malveillant – le driver ne restera pas sur le disque plus longtemps que nécessaire. Ils seront stockés dans le registre de Windows, plutôt que dans les bianaires pour des raisons de discrétion.
L'intérieur de Lavandos et sa complexité
Les fichiers dll sont utilisés par le malware pour mettre à jour automatiquement le pilote et le charger si nécessaire. Le stockage du pilote dans le registre réduit considérablement les chances de détections pour les services antivirus et empêche donc sa suppression.
Le code de mise à jour est téléchargé à partir d’URL codées en dur qui sont chiffrées et stockés dans HKLM\SOFTWARE\Settings\laboratoires HashSeedBitDefender. La mise à jour est téléchargée à partir de multiples domaines nommés d’après le schéma suivant : http://mv[removed]r.com/vito/page.php, http://at[removed]an.org/Vito/page.php, http://s[removed]ler.net/Vito/page.php, http://se[removed]dm.cn/Vito/page.php, http://a[removed]0.net/vito/page.php, http://g[removed]ks.com/ole21/page.php.
Lorsque lib.dll a chargé le pilote, les données enregistrées dans le registre sous la valeur HKLM\SOFTWARE\Settings\DriveSettings sont déchiffrées et écrites sur le disque dans le fichier : C:\windows\system32\drivers\sfc.sys. Immédiatement après que le pilote a été chargé en mémoire, le fichier est supprimé.
Ce qui est particulièrement intéressant sur ce cheval de Troie est le fait qu’il va télécharger d’autres fichiers dll (15 au total), qu’il ne va pas stocker sur le disque, mais en tant que des données binaires dans le registre de Windows.
Le fichier premier fichier .dll communique en permanence avec le serveur. L’objectif est de maintenir le serveur en permanence via les adresses mises à jour. Lavandos envoie les données d’identification (l’adresse IP, les ports et le nom d’hôte) de l’ordinateur détourné avec les informations recueillies sur le serveur C & C. Ce fichier dll recueille également des noms d’utilisateur et mots de passe des sites bancaires en se fixant sur les fonctions InternetOpenA et InternetopenW du navigateur. Lorsquequ’il a intercepté avec succès une combinaison d’identifiants, il hache les données et les stocke dans le registre sous HKLK\Software\Microsoft\Windows. Chaque fois qu’il obtient avec succès un nom d’utilisateur et un mot de passe, il va envoyer tout le contenu de la clé de registre ci-dessus via une requête POST vers le serveur C & C.
Le second fichier .dll intercepte les informations de compte FTP, comme le nom d’hôte, l’IP, le port de destination, le nom d’utilisateur et le mot de passe, qui seront également chiffrées (en utilisant cette fois Base64) et stockées dans la même clé d’enregistrement.
Le troisième fichier .dll cherche des clés de registre créées par le logiciel client FTP spécifique et essaie de lire des clés de Registre utilisées par chaque application distincte pour «mémoriser» le connectioncredentials. La DLL peut reconnaître 14 de l’application la plus importante FTP freeware et commerciale, qui garantit un taux élevé de succès.
Le fichier quatrième fichier.dll est un keylogger qui s’accroche à la fonction TranslateMessage, qui intercepte la touche enfoncée et la stocke dans une mémoire tampon. En outre, il «lit» le nom de classe de la fenêtre de premier plan, s’il est nommé “java.sun.awt.bifit” (bifit – technologies bancaires> et des finances sur internet), les logiciels malveillants prend une capture d’écran et l’enregistre dans le presse-papiers .
Les autres fichiers .dll interceptent diverses fonctions dans les applications bancaires et de propriété qui sont également utilisés pour manipuler les fonctions du navigateur pour importer des certificats ou d’accepter un certificat auto-signé comme étant de confiance.
Bien que le fichier contenant la porte dérobée ne déploie pas un rootkit, il parvient à subvertir des fonctions critiques de Windows et à compromettre la sécurité des navigateurs et des clients FTP. Cette pièce délicate de logiciels malveillants joue toutes ses cartes sur la discrétion absolue en gardant un minimum absolu de fichiers écrits sur le disque et en conservant la transmission de données à l’essentiel.
Certaines informations contenues dans cet article ont été mis à disposition avec courtoisie par la chercheuse Cristina Vatamanu chez BitDefender.