Trojan Bedep - ADFraud à 150 millions de hits / jour

[Malekal_morte]

Trojan.Bedep est une menace informatique de type trojan et plus particulièrement de type Trojan Clicker / AdFraud. C'est à dire qu'il va charger de manière masquée "en tâche de fond" des pubs afin de gagner de l'argent avec celles-ci.
Malwarebytes Anti-Malware détecte ce dernier en Backdoor.LuminosityLink.

Il se propage essentiellement par des WEB exploits poussés par des malvertising

Voici une analyse qui présente le fonctionnement :

bedep_trojan_schema.png

( image: Sentrant / Ara Labs © )

Le trojan ne charge pas directement des publicités mais charge d'abord des régies de publicités permettant de générer du traffic. Des sites payent ces régies afin de récupérer ce traffic, une fois arrivés sur ces sites, le trojan remplace les publicités par les siennes ce qui permet de dégager des gains. Cette sophistication complique le suivi des publicités générées par le botnet.

Le malware simule un navigateur et retire tous les sons des vidéos de publicités.

L'estimation est de 150 millions de hits par jour, pour 80 000 bots, ce qui est loin d'être négligeable.

Source: Exposing the Mechanics Behind 153.6M Defrauded Ad Impressions A Day

~~

Voici une capture d'un des WEB exploits menant au Trojan.Bedep à travers l'infection du board pour adultes planetsuzy.org :



Bedep charge une DLL, dans mon cas :

CustomCLSID: HKU\S-1-5-21-2568215945-4132293836-1244343729-1000_Classes\CLSID\{56CBD3CF-BF99-4DF5-851F-F5B9B57496A1}\InprocServer32 -> C:\ProgramData\{D9E629DC-CB1C-4A97-9900-81922B4EFFD4}\xrWCtmg2.dll (Microsoft Corporation)

Le dossier Guid dans ProgramData est typique du Trojan Bedep.



puis va injecter des processus Windows pour effectuer les connexions nécessaires, voir le dossier : Injection de code (PE/DLL injection) et dropper



En Orange les connexions au serveur de contrôle.
Puis contacte un serveur de pubs pour effectuer les connexions "AdFraud".


Voici un résume en vidéo :


Il faut savoir que le Trojan Bedep est actif en mode sans échec :



Enfin voici un exemple de blocage du Trojan Bedep, à travers une règle qui empêche l'établissement de connexion TCP vers le 80 avec le pare-feu de Windows (voir : Tutoriel pare-feu Windows).
Ainsi le Trojan ne peut recevoir les ordres depuis le serveur de contrôle.



Enfin dans la vidéo suivante, comment détecter une injection de DLL non signée provenant de Trojan Bedep.


Dans le même style avec des injections d'explorer.exe, vous avez Trojan Sathurbot

[Malekal_morte]

Autre actualité liée à Bedep où le site porno xhamster conduit à l'ExploitKit Angler : Malvertising xhamster.

[Malekal_morte]

Microsoft vient d'ajouter le Trojan Bedep au MSRT, ce dernier est détecté par la firme en Backdoor:Win32/Bedep.A ou Backdoor:Win64/Bedep.A.

Dans son bulletin Microsoft prévient que le Trojan Bedep télécharge aussi des Trojan Banker et stealer comme :

• Dofoil
• Ursnif
• Zemot
• Fareit

Quelques chiffres :

BedepGeoDist1.png

La France représente 3% des pays touchés :

BedepPie.png

Comme nous l'évoquions, Bedep est poussé par l'ExploitKit Angler.

Kaffeine a d'ailleurs publié une actualité sur Bedep : http://malware.dontneedcoffee.com/2016/ ... ntiVM.html
Des malvertising visant l'Australie et incorporant un Anti-VM.

Un malware toujours d'actualité donc.

[Malekal_morte]

Bedep est distribué avec le ransomare CryptXX (Virus RSA 4096 .crypt) via Angler EK.



source: http://researchcenter.paloaltonetworks. ... -cryptxxx/

[Malekal_morte]

Message initial édité pour ajouter un exemple d'une infection Bedep avec une vidéo.

[Malekal_morte]

Une malvertising sur le site pour adultes xhamster mène à un Web Exploit et au trojan Bedep:

Xhamster_WebExploit_Trojan_Bedep.png

SHA256: f7dd6a242eb25308639ca64b94170c3e7cbb5a88fb4ec5351ec7d9e924cbc92b
Detection ratio: 28 / 57
Analysis date: 2016-05-09 18:20:08 UTC ( 6 minutes ago )

Antivirus Result Update
ALYac Gen:Variant.Barys.50433 20160509
AVG MSIL_c.QSU 20160509
AVware Trojan.Win32.Generic!BT 20160509
Ad-Aware Gen:Variant.Barys.50433 20160509
AegisLab Troj.W32.Gen.lZYM 20160509
AhnLab-V3 Trojan/Win32.Skeeyah 20160509
Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20160509
Arcabit Trojan.Barys.DC501 20160509
Avast MSIL:Agent-BAO [Trj] 20160509
BitDefender Gen:Variant.Barys.50433 20160509
Bkav W32.SkeeyahAgentD.Trojan 20160509
DrWeb Trojan.DownLoader20.49288 20160509
ESET-NOD32 a variant of MSIL/Agent.AIU 20160509
Emsisoft Gen:Variant.Barys.50433 (B) 20160503
F-Secure Gen:Variant.Barys.50433 20160509
GData Gen:Variant.Barys.50433 20160509
Ikarus Trojan.MSIL.Agent 20160509
Kaspersky HEUR:Trojan.Win32.Generic 20160509
Malwarebytes Backdoor.LuminosityLink 20160509
McAfee-GW-Edition BehavesLike.Win32.Backdoor.gc 20160509
eScan Gen:Variant.Barys.50433 20160509
Microsoft Trojan:Win32/Skeeyah.A!rfn 20160509
Qihoo-360 QVM03.0.Malware.Gen 20160509
Sophos Mal/MsilKlog-D 20160509
TrendMicro-HouseCall HT_AGENT_FD1101AD.UVPM 20160509
VIPRE Trojan.Win32.Generic!BT 20160509
Yandex Trojan.Agent!mw+l1v3mQHw 20160508
Zillya Trojan.Agent.Win32.672307 20160508

→ Bedep has raised its game vs Bot Zombies