Des outils de productivité logicielle détournés pour fournir des infostealers
En juin, une société de logiciels basée en Inde a distribué par inadvertance des logiciels malveillants de vol d’informations fournis avec ses principaux produits logiciels.
Conceptworld Corporation vend trois outils logiciels auto-logiques : Notezilla, une application de notes autocollantes ; RecentX, un outil permettant de stocker les fichiers, dossiers, applications et données du presse-papiers récemment utilisés ; et Copywhiz, utilisé pour copier, organiser et sauvegarder des fichiers.
Il y a quelques semaines, des chercheurs de Rapid7 ont découvert que les packages d’installation associés aux trois avaient été trojanisés, secrètement transportant des logiciels malveillants rudimentaires de vol d’informations. Rapid7 a informé Conceptworld le 24 juin. En 12 heures, la société avait supprimé les installateurs malveillants et les avait remplacés par des copies légitimes et signées.
Détournement des installateurs de logiciels
Pour diffuser leurs logiciels malveillants là où les utilisateurs les téléchargeraient, les attaquants de Conceptworld ont associé les installateurs de logiciels légitimes de l’entreprise avec les leurs.
On ne sait pas exactement comment ils y sont parvenus, explique Tyler McGraw, analyste en détection et réponse pour Rapid7, mais « ils n’auraient besoin que de l’accès pour pouvoir échanger des fichiers sur le serveur hébergeant les téléchargements. Cela pourrait être accompli, par exemple, via l’exploitation d’une vulnérabilité sur les serveurs Web du fournisseur pour permettre le téléchargement de fichiers arbitraires.
Les packages d’installation résultants n’étaient pas signés et un utilisateur extrêmement attentif aurait pu remarquer que ce qu’il avait téléchargé était plus grand que la taille du fichier indiquée sur le site Web de l’entreprise (grâce au logiciel malveillant et à ses dépendances).
Sinon, peu de signes auraient pu indiquer que quelque chose n’allait pas. Après l’exécution initiale, un utilisateur n’aurait vu qu’une fenêtre contextuelle du programme d’installation légitime, et non du programme malveillant.
dllFaux
Les chercheurs ont baptisé le malware en question « dllFake ». En examinant les fichiers envoyés à VirusTotal, ils ont découvert que même si ses installateurs n’existent que depuis début juin, dllFake semble appartenir à une famille de malwares encore inconnue et présente dans la nature depuis au moins janvier.
Le programme est capable de voler des informations à partir de portefeuilles de cryptomonnaies ainsi que de Google Chrome et Mozilla Firefox. Il peut également enregistrer les frappes au clavier et les données du presse-papiers, et télécharger et exécuter d’autres charges utiles.
« L’implémentation du malware suggère un faible niveau de sophistication », explique McGraw. « Par exemple, plusieurs indicateurs clés ont été laissés en texte clair et l’utilisation d’exécutables compilés est limitée en faveur des scripts batch. En fait, la seule adresse de commande et de contrôle intégrée dans l’un des exécutables (semi-obscurcie) est écrasée par celles stockées dans une liste en texte clair, et donc, elle n’est pas réellement utilisée lors d’une exécution réussie, bien qu’il s’agisse de l’un des seuls serveurs SFTP actifs observés. »
Dans l’ensemble, prévient-il, « tout téléchargement de logiciel, en particulier ceux qui sont disponibles gratuitement, doit être traité avec un niveau de suspicion approprié jusqu’à ce que la légitimité puisse être déterminée. Outre la comparaison des tailles de fichiers, les fichiers peuvent également être vérifiés de plusieurs autres manières, telles que la validation de signature et la réputation de hachage. De nombreux sandbox disponibles gratuitement sont également à la disposition des utilisateurs pour soumettre des logiciels et visualiser leur comportement d’exécution. »