Cette famille de Worms profite de nouvelles pratiques en vogue dans les entreprises (ex : le BYOD) comme facteur de forte propagation, répercutant ainsi sa portée à la fois au sein d'une société et de son environnement (employés, clients et partenaires).

La forme basique de ce malware permet au cybercriminel un point d'entrée discret et globalisé dans le système informatique, priorisant dans un premier temps la prise d'informations. Le pirate pourra ensuite mener des attaques plus ciblées et pousser de nouvelles technologies afin d'étendre le vol d'informations aux CRM, conteneurs chiffrés, gestionnaires de mots de passe, VPN, SAP, FTP, applications bancaires, réseaux sociaux, etc.

L'étude présentée ci-après porte sur le fonctionnement technique de ce ver ainsi que sur la réflexion extrinsèque réalisée par les cybercriminels autour de ce type de code malveillant.

Mise en contact avec la menace

Le vecteur de propagation se présente sous la forme d'un périphérique de stockage USB (Clé USB, disque externe, téléphone portable en mode USB & appareil photo, etc.).

À son insertion, le contenu visible par l’utilisateur est tout à fait classique.

Ci-dessous le contenu réel de cette clé USB, caché à l'utilisateur :

Le principe est le suivant :

Dans l’encadré rouge n°1 : les raccourcis piégés qui ont l’air de vrais fichiers et qui sont visibles par l’utilisateur (voir plus haut).

Cependant, une fois exécutés, ces raccourcis lanceront le malware (encadré rouge n°2) puis ouvriront les fichiers originaux, cachés à l'utilisateur (encadré rouge n°3).

Par conséquent, l’utilisateur aura l’impression d’avoir ouvert le fichier désiré et ne s’apercevra pas du lancement du malware quelques millisecondes auparavant. Cela permet au cybercriminel de dissimuler son action.

Détails du malware

Le fichier malware est un VBS (Microsoft Visual Basic Scripting Edition). Ce type de script est couramment utilisé par les administrateurs systèmes et réseaux pour faire des applicatifs légers et ainsi automatiser certaines actions.

Dans le cas présent, le malware est encapsulé sous plusieurs formes d'encodage laissant penser à un système de poupées russes (cela afin de se camoufler) :

Une fois décodé en mémoire, le malware commence alors diverses actions :

1. Il se rend persistant via l'ajout de 2 clés registres :

2. Il loge une copie de son code dans les temporaires :

3. Il loge une copie de son code dans le dossier "Démarrage" de Windows :

4. Il part à la recherche de tous les périphériques amovibles afin de les parasiter pour en faire de nouveaux supports de propagation :

5. Le malware se connecte ensuite à son serveur C&C en lui spécifiant certaines informations :

>> le hwid (numéro unique basé sur un ou plusieurs composants, ici il s'agit du numéro de série des disques)
>> le nom de l'ordinateur
>>le nom de la session
>>le système d'exploitation
>> la marque de l'éventuel antivirus qui serait installé

6. Le serveur pirate pourra envoyer à chaque poste victime plusieurs technologies et scénarios différents en fonction de ce qu'il souhaite faire ou trouver (à l'initiative automatique ou manuelle du pirate) :

Ainsi, il devient possible pour le pirate d’intervenir comme bon lui semble, sur le poste victime afin de voler des données, mettre à jour le malware, en installer un autre, l'autodétruire, etc.

Ce malware ainsi que ses variantes sont détectés par Bitdefender sous le nom de "Worm.VBS.Dinihu.B" et "Trojan.VBS.TYJ".

Au-delà du code

Le code VBS intégré à ce malware est réutilisé, enrichi et personnalisé par certains cybercriminels.

Voici le type de « publicité » qui en est faite :

Ci-dessous la capture d'une console d'administration type, dédiée à ce genre de malware :

L'adage veut que les choses les plus simples soient celles qui marchent le mieux et nous le vérifions encore une fois avec l’analyse de ce malware. En effet, bien que le code étudié soit d’une relative simplicité, il suffit pour corrompre la sécurité d’une organisation entière.

Cette manière de s'infiltrer directement ou indirectement par rebond permet au cybercriminel d'accéder à un large spectre de personnes pour récupérer diverses informations personnelles et confidentielles. Il pourra alors mettre en place différentes stratégies pour commanditer des attaques.

Le schéma, ci-dessus illustre comment un cybercriminel pourra, par exemple, se rapprocher des données sensibles qu’il souhaite voler :

>> en laissant une clé USB (dans le parking, par exemple) ou autres périphériques à l’indiscrétion de salariés curieux de voir ce qu'il y a dessus,
>>  en offrant (via un faux jeu concours par exemple) un matériel susceptible d'être apporté au bureau par un salarié,
>>  en passant par l'un des proches d’un collaborateur afin de pouvoir infecter un matériel à destination de l'entreprise ou d'attraper des informations officieuses qui pourraient transiter dans des conversations privées (Facebook, activation du micro à domicile, etc.).

Et bien d'autres.

Conclusion

L’étude de ce malware atteste d’une augmentation significative de la dangerosité des menaces informatiques avec des attaques de plus en plus ciblées.

Ce type de malware s’inscrit bien dans cette tendance et vient appuyer l’importance pour les entreprises de définir des politiques de sécurité limitant les droits et les accès des utilisateurs aux informations critiques.

D’autre part, l’entreprise doit mettre en place des procédures pour gérer les différentes situations critiques et surtout des formations régulières, non pas des seules équipes en charge de l’administration du réseau, mais de l’ensemble des utilisateurs.

Enfin, les entreprises de toutes tailles doivent se doter d’outils multi-technologies de qualité permettant des analyses comportementales et polymorphiques "compatibles SIEM (Security Information and Event Management)".