Il y a un mois environ, un article sur une des variantes du malware ZeuS a été publié sous le nom “Murofet, redoutable botnet qui émerge et cause une nouvelle menace“. Aujourd’hui, Trend Micro avertit d’une nouvelle variante : LICAT.
Récemment, leurs services ont reçu un échantillon de LICAT (transmis par l’intermédiaire de canaux de collaboration de confiance) qui communique avec son serveur de commandement et de contrôle (C & C) à l’aide d’un domaine pseudo-aléatoire qui ne figurait pas parmi ceux générés par l’algorithme original. Cette découverte les poussent à regarder de plus près dans l’échantillon acquis.
L’analyse a révélée que le nouvel échantillon avait encore toutes les routines originales que nous avons trouvé dans l’échantillon LICAT original. Par exemple, il a généré le même nombre de domaines sur un jour donné, et utilisé les mêmes domaines de premier niveau (Top Level Domain ou TLD, NDLR). Il y a une grande différence dans le code des deux variantes, toutefois : une clé XOR différente est utilisé. Cette nouvelle variante utilise 0xDEADC2DE comme clé, et l’original utilisait 0xD6D7A4BE :
Non seulement cette nouvelle variante utilisation des clés XOR différentes, mais il utilise également plus de clés que l’original. L’algorithme de génération de domaine (DGA) varie par rapport au LICAT original; il a utilisé la clé XOR deux fois : pour le cas où son fichier de configuration a été localisé, et une autre pour les mise à jour qui peuvent être téléchargées automatiquement. Dans cette nouvelle variante, cependant, les différentes clés utilisées ne partagent pas la même valeur que la variante originale. Cela double le nombre de domaines qui doivent être surveillés et bloqués par les chercheurs.
Trend Micro s’attend à ce que des variantes de LICAT avec des clés XOR différentes soient probablement repérées dans les prochaines semaines. Cette variante nouvellement découverte est détectée comme PE_LICAT.BO, et les fichiers patchés sont détectés comme PE_LICAT.B. Comme nous l’avons noté plus haut, leur comportement (sauf pour la production de domaine automatique) est identique à celui présenté par PE_LICAT.A.
Les clients de Trend Micro sont protégés par Trend Micro ™ Smart Protection Network ™, qui détecte et empêche l’infecteur de fichiers de s’exécuter. Ils fourniront une surveillance continue des nouvelles variantes de LICAT et de ses domaines, en les bloquant au besoin.
Merci au chercheur en sécurité avancée Feike Hacquebord pour avoir mis cette menace à la lumière.