Le Threat Labs d’Avast publie ce jour de nouvelles recherches sur OnionCrypter, un crypteur – composant clé des logiciels malveillants, présent dans certaines des familles de malwares les plus répandues, comme Ursnif et AgentTesla :
« Les logiciels malveillants d’aujourd’hui ressemblent beaucoup aux voitures, qui, comme les malwares, sont constituées de nombreux composants qui leur permettent de fonctionner. Les voitures présentent différentes parties comme le moteur, les pneus ou encore le volant ; les logiciels malveillants sont eux composés de chargeurs, de charges utiles et de modules de commande.
Récemment, les chercheurs du Threat Labs d’Avast se sont penchés sur une “pièce” spécifique que les auteurs de malwares utilisent pour fabriquer leurs « voitures ». Il s’agit d’un “crypteur”, un outil exploité pour dissimuler les parties malveillantes d’un code à l’aide d’un chiffrement, dans le but d’apparaître comme inoffensif et plus difficile à lire. Les cybercriminels utilisent cette technique pour cacher leur code malveillant aux chercheurs, aux antivirus et aux logiciels de sécurité. Du point de vue des cyberattaquants, un crypteur est un outil important pour passer outre les protections contre ces logiciels malveillants. Du côté des chercheurs, cependant, être capable d’identifier un crypteur nous aide à mieux et plus rapidement identifier les nouveaux logiciels malveillants lorsque ceux-ci contiennent ce composant.
Nous avons également constaté qu’OnionCrypter est largement exploité depuis 2016 par certaines des familles de malwares les plus connues et les plus répandues, comme Ursnif, Lokibot, Zeus, AgentTesla et Smokeloader, entre autres. Au cours des trois dernières années, nous avons protégé près de 400 000 utilisateurs d’Avast dans le monde entier contre les logiciels malveillants qui utilisent OnionCrypter. Le tableau ci-dessous montre les différentes familles de malwares que nous avons trouvées utilisant OnionCrypter.
En raison de la durée d’existence d’OnionCrypter et de son utilisation répandue, nos chercheurs pensent que les auteurs d’OnionCrypter le proposent à la vente en tant que service ; ce qui n’est pas étonnant. Nous avons en effet vu le marché des logiciels malveillants mûrir au point que certaines personnes et entreprises proposent des services spécifiques et spécialisés. Conformément à ce type de marché mature, nous estimons également que les auteurs d’OnionCrypter proposent une personnalisation à leurs clients, ce qui contribue à le rendre encore moins détectable. Dans les publicités sur les forums, il est souvent présenté comme un crypteur totalement indétectable (FUD).
Grâce aux informations que les chercheurs d’Avast ont trouvées sur OnionCrypter, il est plus facile pour nous et pour les autres non seulement de le détecter, mais aussi tout ce qui l’utilise.
Pour reprendre l’analogie avec la voiture, le Threat Labs d’Avast a identifié une pièce spécifique du moteur que de nombreuses familles de logiciels malveillants utilisent. Désormais, nous sommes en mesure de rechercher cet élément et de l’analyser de plus près lorsque nous la trouvons dans quelque chose de nouveau – nos recherches nous ont montré que dans ces cas, il s’agit d’un nouveau type de malware. La capacité de notre équipe à mener des recherches approfondies est bénéfique, à la fois pour les clients d’Avast et pour tous les autres, car ces renseignements permettent d’informer ceux qui conçoivent et améliorent les logiciels de sécurité. »
Pour en savoir plus sur OnionCrypter, rendez-vous sur l’analyse détaillée du chercheur Jakub Kaloč via le lien suivant : https://decoded.avast.io/jakubkaloc/onion-crypter/