Posté le mai 12, 2020 à 14:57
LE LOGICIEL MALVEILLANT ASTAROTH SE SERT DES CHAÎNES YOUTUBE POUR CAMOUFLER LES SERVEURS DE COMMANDE ET DE CONTRÔLE
Le logiciel malveillant voleur d’information Astaroth a continué d’évoluer pour devenir l’une des plus puissantes variantes de logiciels malveillants au monde. Heureusement, les acteurs du logiciel malveillant se sont concentrés seulement sur le Brésil. Depuis sa découverte dans l’espace en ligne en septembre 2018, le cheval de Troie a ciblé à plusieurs reprises des utilisateurs au Brésil, comme l’ont révélé des chercheurs en sécurité.
L’une des raisons pour lesquelles il est si difficile à repérer est qu’il contient une série de contrôles anti sandbox et anti analyse pour éviter qu’il soit détecté par les chercheurs en sécurité.
Le logiciel malveillant a changé de cible depuis sa découverte
Les premiers chercheurs en sécurité à découvrir et à analyser le cheval de Troie étaient des chercheurs d’IBM. Par la suite, Microsoft et Cybereason ont uni leurs efforts pour analyser l’évolution du logiciel malveillant. Les résultats ont été publiés sur deux blogs en juillet de l’année dernière et en mars de cette année.
Les chercheurs suivent Astaroth depuis lors, avec la dernière révélation que le logiciel malveillant a développé une chaîne d’attaque plus sophistiquée et s’est recentré sur la furtivité à un niveau plus élevé.
Dans un rapport publié hier par Cisco Talos, le logiciel malveillant Astaroth a sérieusement changé ses modes de fonctionnement depuis sa création. Le rapport a révélé que le logiciel malveillant a continué à évoluer avec de nouvelles mises à jour.
Bien que le cheval de Troie utilise une technique appelée « lives off the land » ou LOLbins et qu’il se base sur une exécution sans fichier et des campagnes de diffusion par e-mail, il a reçu deux mises à jour importantes.
La première mise à jour est la collecte de contrôles anti sandbox et anti-analyse. Selon le rapport, le logiciel malveillant s’exécute généralement après avoir effectué ces contrôles. Cela permet de s’assurer que le logiciel malveillant ne s’exécute pas dans un environnement de bac à sable mais sur un véritable ordinateur, ce qui échappe à l’examen des chercheurs en sécurité.
Comme les acteurs d’Astaroth ont échappé à l’analyse de leurs opérations, ils peuvent éviter que des charges utiles soient liées à des logiciels malveillants. Le plus dangereux est que le taux d’infection augmente tant que le groupe reste hors du radar. Cela signifie que plus longtemps ils restent cachés, plus ils ont de chances de voler plus de données qu’ils peuvent mettre en vente sur le darknet.
Le logiciel malveillant est très difficile à analyser
Selon l’équipe de Cisco Talo, « Astaroth est évasive par nature et ses auteurs ont pris toutes les mesures nécessaires pour assurer son succès ».
L’équipe a en outre révélé que les acteurs derrière le logiciel malveillant Astaroth ont mis en œuvre une méthode très sophistiquée qui rend le logiciel malveillant très difficile à détecter.
Ils ont commencé par des appâts efficaces et convaincants, puis sont passés à plusieurs niveaux d’obscurcissement avant de passer à un contrôle systématique des techniques et des outils. Il est donc très difficile pour les chercheurs d’identifier toute menace éventuelle. Le logiciel malveillant est également très difficile à analyser, selon les chercheurs.
Le logiciel malveillant utilise la chaîne YouTube pour cacher ses serveurs de commande
Non seulement le logiciel malveillant est très difficile à analyser, mais il est également très difficile d’arrêter sa propagation. Lors de la récente mise à jour effectuée par les acteurs, les chercheurs ont découvert que le logiciel malveillant cache désormais les serveurs de commande et de contrôle (c2) en utilisant la description des chaînes YouTube.
Talos a révélé qu’une fois qu’Astaroth compromet un système, le logiciel malveillant se connecte à un canal YouTube et utilise le champ de description du canal.
Le champ de description contient des textes codés en base64 et cryptés avec une adresse web vers son serveur de commande et de contrôle. Une fois qu’Astaroth a décodé le texte, il se connecte aux adresses web pour stocker les informations volées et attendre de nouvelles instructions.
Toutefois, ce n’est pas la première fois que des hackers utilisent YouTube comme cachette pour le serveur de commande et de contrôle. Il a été utilisé par Janicab en 2015 et par Stantinko l’année dernière.
Mais la méthode d’Asaroth est plus sophistiquée car l’utilisation de YouTube est l’une des nombreuses options dont dispose le groupe pour découvrir et se connecter au serveur C & C. Ils ont développé d’autres options. Ils ont développé d’autres options.
Cela signifie qu’Astaroth passera simplement à d’autres options pour obtenir son serveur C & C si YouTube supprime les chaînes.
La seule bonne nouvelle de cette évolution est le fait que le logiciel malveillant n’est toujours opérationnel qu’au Brésil où il a commencé. Les acteurs ne ciblent actuellement que les utilisateurs brésiliens, mais les chercheurs pensent que cela pourrait bientôt changer.
