Backdoor.Lavandos.A, un keylogger bien pensé

Bien qu’il soit particulièrement adapté pour voler les utilisateurs de services bancaires en ligne d’institutions basées en Russie et en Ukraine, cet outil se donne beaucoup de mal pour s’assurer de mettre la main sur votre compte, quel que soit l’endroit où vous habitez.

Une fois sur le système, Backdoor.Lavandos.A entre immédiatement dans le vif du sujet et dépose3 fichiers dll et un driver contenus dans son fichier binaire.Chacun de ces composants a un rôle précis de la plus grande importance pour le bon fonctionnement du malware. Ainsi, le premier fichier dll créé s’intéresse aux navigateurs installés sur le PC afin de générer pour chacun un fichier « setupapi.dll » dans le dossier racine d’installation pour Mozilla® Firefox®, Opera® et Internet Explorer®.

Les deux fichiers exécutables suivants sont créés dans C:\windows\system32\sfcfiles.dll et C:\windows\system32\lib.dll. Le fichier sain d’origine, sfcfiles.dll, est chiffré et ajouté en tant que valeur de registre dans HKEY_LOCAL_MACHINE\SOFTWARE\SETTINGS\CryptoHash. Il est également ajouté àsfcfiles.dat. Afin d’éviter d’éveiller des soupçons, le fichier sfcfiles.dll modifié et infecté a la même taille et les mêmes attributs que le fichier d’origine.

Lavandos crée également un pilote dans %windir%\system32\drivers\sfc.sys. Notons toutefois que le pilote ne demeurera pas sur le disque plus longtemps que nécessaire. Il sera stocké dans le Registre Windows sous la forme de données binaires pour éviter d’être détecté.

Dans les méandres de Lavandos

Les fichiers dll sont utilisés par le malware pour mettre automatiquement à jour le pilote et le charger quand cela est nécessaire. Stocker le pilote dans le Registre diminue considérablement le risque que l’antivirus le détecte et le supprime.

Le code mis à jour est téléchargé à partir d’URL codées en dur chiffrées et stockées dans HKLM\SOFTWARE\SETTINGS\HashSeed. Les laboratoires BitDefender ont identifié que la mise à jour était téléchargée sur plusieurs domaines nommés selon le schéma suivant :
http://mv[supprimé]r.com/vito/page.php, http://at[supprimé]an.org/vito/page.php, http://s[supprimé]ler.net/vito/page.php, http://se[supprimé]dm.cn/vito/page.php, http://a[supprimé]0.net/vito/page.php, http://g[supprimé]ks.com/ole21/page.php.

Lorsque lib.dll doit charger le pilote, les données enregistrées dans le Registre sous la valeur HKLM\SOFTWARE\SETTINGS\DriveSettings sont déchiffrées et inscrites sur le disque dans le fichier c:\windows\system32\drivers\sfc. Dès que le pilote est chargé en mémoire, le fichier est supprimé.

Notons que ce cheval de Troie télécharge ensuite 15 autres fichiers dll, tous nommés dll.dll, qui ne seront pas stockés sur le disque mais en tant que données binaires dans le Registre Windows.

Le premier fichier dll.dll communique en permanence avec le serveur. L’objectif est de conserver les adresses de serveur à jour. Lavandos envoie les données d’identification (l’adresse IP, les ports et le nom d’hôte) de l’ordinateur piraté ainsi que les informations recueillies au serveur C & C. Ce fichier dll recueille également des noms d’utilisateurs et des mots de passe de sites de services bancaires en hookant les fonctions InternetOpenA et InternetopenW du navigateur. Une fois qu’il a intercepté un nom d’utilisateur et le mot de passe associé, il chiffre les données et les stocke dans le Registre sous la clé HKLK\Software\Microsoft\Windows. À chaque fois qu’il obtient un nom d’utilisateur et un mot de passe, il envoie le contenu de la clé de registre mentionnée précédemment via une requête POST au serveur C & C.

Le deuxième fichier dll.dll intercepte des informations sur le compte FTP telles que le nom d’hôte, l’IP, le port de destination, le nom d’utilisateur et les mots de passe, qui seront aussi chiffrées (cette fois-ci à l’aide de Base64) et stockées dans la même clé de Registre.

Le troisième fichier dll.dll recherche des clés de Registre créées par certains logiciels clients FTP et essaie de lire les clés de Registre utilisées par chaque application différente afin de « mémoriser » les identifiants de connexion. La DLL peut reconnaître 14 des principales applications FTP freewares et commerciales, ce qui garantit un taux de succès élevé.

Le quatrième fichier dll est un keylogger qui hooke la fonction TranslateMessage, intercepte les frappes au clavier et les stocke dans la mémoire tampon.  De plus, il « lit » le nom de classe de la fenêtre du premier plan, et s’il s’agit de « java.sun.awt.bifit » (« bifit » signifiant « technologies bancaires et financières sur Internet »), le malware effectue une capture d’écran qu’il enregistre dans le presse-papiers.

D’autres fichiers dll.dll interceptent plusieurs fonctions d’applications bancaires propriétaires et sont également utilisés pour manipuler des fonctions de navigateur afin d’importer des certificats ou d’accepter un certificat auto-signé comme étant fiable.

Bien que le fichier backdoor ne déploie pas de pilote rootkit, il parvient à compromettre des fonctions Windows critiques et à mettre en péril la sécurité du navigateur et du client FTP. Ce malware sournois mise tout sur la discrétion en s’en tenant au strict minimum de fichiers enregistrés sur le disque et en limitant autant que possible la transmission de données. Ne manquez pas l’analyse que nous ferons du backdoor et de tous ses composants.