Les opérateurs de logiciels malveillants TrickBot ont utilisé une nouvelle méthode pour vérifier la résolution d’écran d’un système victime afin d’échapper à la détection des logiciels de sécurité et à l’analyse par les chercheurs.
L’année dernière, le gang TrickBot a ajouté une nouvelle fonctionnalité à son logiciel malveillant qui a mis fin à la chaîne d’infection si un appareil utilisait des résolutions d’écran non standard de 800×600 et 1024×768.
Dans une nouvelle variante repérée par les chercheurs sur les menaces, le code de vérification a été ajouté à la pièce jointe HTML du malspam remis à la victime potentielle.
Un truc emprunté
Les chercheurs analysent généralement les logiciels malveillants dans les machines virtuelles qui présentent certaines particularités – en particulier sur les configurations par défaut – telles que les services en cours d’exécution, le nom de la machine, la carte réseau, les fonctionnalités du processeur et la résolution de l’écran.
Les développeurs de logiciels malveillants sont conscients de ces caractéristiques et profitent de la mise en œuvre de méthodes qui arrêtent le processus d’infection sur les systèmes identifiés comme des machines virtuelles.
Dans les échantillons de logiciels malveillants TrickBot trouvés l’année dernière, l’exécutable incluait du code JavaScript qui vérifiait la résolution d’écran du système sur lequel il s’exécutait.
Récemment, L’analyste – un chasseur de menaces et membre du groupe de recherche sur la sécurité Cryptolaemus, a découvert que la pièce jointe HTML d’une campagne de malspam TrickBot se comportait différemment sur une machine réelle que sur une machine virtuelle.
La pièce jointe a téléchargé une archive ZIP malveillante sur un système physique mais redirigé vers le site Web de l’ABC (American Broadcasting Company) dans un environnement virtuel.
Si la cible ouvre le code HTML dans son navigateur Web, le script malveillant est décodé et la charge utile est déployée sur son appareil.
L’e-mail contenant la pièce jointe était une fausse alerte pour l’achat d’une assurance, avec des détails ajoutés à une pièce jointe HTML.
L’ouverture de la pièce jointe a lancé le fichier HTML dans le navigateur Web par défaut, affichant un message demandant de patienter pour que le document se charge et fournissant un mot de passe pour y accéder.
Sur la machine d’un utilisateur ordinaire, la chaîne d’infection se poursuivrait avec le téléchargement d’une archive ZIP comprenant l’exécutable TrickBot, comme le montre l’image ci-dessous, publiée par TheAnalyst :
Le téléchargement de logiciels malveillants de cette manière est une technique connue sous le nom de contrebande HTML. Il permet à un acteur malveillant de contourner les filtres de contenu d’un navigateur et d’introduire des fichiers malveillants sur un ordinateur cible en incluant du code JavaScript codé dans un fichier HTML.
Bien que cela semble être une innovation des opérateurs de TrickBot, l’astuce n’est pas nouvelle et a déjà été vue dans des attaques attirant les victimes vers des sites de phishing.
Le chercheur en sécurité MalwareHunterTeam a découvert en mars de cette année un kit de phishing comprenant du code permettant de vérifier la résolution de l’écran du système.
Depuis lors, le chercheur a déclaré à EZpublish-france.fr qu’il avait vu la tactique utilisée à plusieurs reprises dans diverses campagnes de phishing comme moyen d’éviter les enquêteurs.
Le script détermine si l’utilisateur atterrissant sur la page de phishing utilise une machine virtuelle ou une machine physique en vérifiant si le navigateur Web utilise un moteur de rendu logiciel comme as SwiftShader, LLVMpipe, ou VirtualBox, ce qui signifie généralement qu’un environnement virtuel.
Comme vu ci-dessus, le script vérifie également si la profondeur de couleur de l’écran du visiteur est inférieure à 24 bits, ou si la hauteur et la largeur de l’écran sont inférieures à 100 pixels.
TrickBot n’utilise pas le même script que celui ci-dessus mais s’appuie sur la même tactique pour détecter le bac à sable d’un chercheur. Cependant, c’est une première pour le gang d’utiliser un tel script dans une pièce jointe HTML.
C’est peut-être aussi la première fois qu’un logiciel malveillant utilise une pièce jointe pour exécuter une vérification de la résolution d’écran plutôt que de le faire sur la page de destination servant l’exécutable du logiciel malveillant.
Auparavant, le malware recherchait des résolutions d’écran non standard 800×600 et 1024×768, qui indiquent une machine virtuelle.