Auto-inoculation d'un malware : La méthode de l'antivirus

L'enrôlement de nouvelles machines dans des réseaux de zombies (botnets) ou pour la collecte d'informations personnelles fait partie des activités « de base » de l'économie du cybercrime.

Il y a quelques années la méthode la plus utilisée de prise de contrôle d'une machine utilisateur était l'exploitation de failles de sécurité de type « réseau ». Avec la généralisation des routeurs ADSL ou autres logiciels de firewalling personnels protégeant les machines depuis l'externe, les méthodes d'exploitation ont évoluées : Exploitation des vulnérabilités des navigateurs Internet et des « plugins » (Acrobat, Flash,....) qui vont de pair.

Un autre grand classique est de faire en sorte que l'utilisateur le fasse lui-même : La créativité des attaquants est très riche : Cela va du « codec vidéo frelaté » au logiciel de sécurité en passant via les barres d'outils de navigateurs. Le « mix produit » est double : Une bonne dose d'ingénierie sociale avec un soupçon de technique et l'affaire est emballée !

Tout commence par une recherche sur Google : Vous cliquez sur l'un des résultats et vous arrivez sur la page suivante :

Comme on peut le voir, cette page ressemble étrangement à la fenêtre de l'Explorateur Windows : il est indiqué que des « erreurs système » ont été détectés et qu'un scan est en cours afin d'éviter toute perte de données.... La barre de progression verte avance tranquille et les noms de fichiers déroulent en dessous.
Dans la boite de dialogue il est indiqué que le logiciel de vérification est fournit par un partenaire officiel « Internet Antivirus Pro » ; qu'il ne faut surtout pas fermer la fenêtre tant que le scan n'est pas finit. En outre, on me recommande d'installer la version complète de ce logiciel « Antivirus Pro Scanner »... Nous laissons donc les choses se dérouler....

Une fois le scan terminé (durée inférieure à une minute) le constat est dur. :-)

Iap_malware_screenshot_2

Les conclusions sont:

  • Des erreurs matérielles ont été détectées sur tous les disques locaux (C: et D :)
  • Des menaces de sécurité sont présentes sur les documents partagés.
  • Des informations privées m'ont été dérobées par un logiciel espion « spyware ». Je peux même voir mon adresse IP et le nom de la ville ou je suis !

Pour résumer : On me dit que ma machine est infectée par des logiciels malicieux est que mes données sont en danger...
... Je clique donc sur le bouton « OK » de la fenêtre de dialogue.

On me propose ensuite d'installer la version complète du logiciel « Internet Antivirus Pro ».

Iap_malware_screenshot_3

Je clique donc sur « OK » pour commencer le téléchargement : Un antivirus gratuit, on ne passe pas à coté d'une si belle opportunité... En plus il a l'air très rapide. ?

Juste au cas, ou l'utilisateur aurait encore un doute, on lui indique qu'il faut qu'il clique sur « OK » pour télécharger des mises à jour de sécurité critiques. On peut voir sur la figure suivante que la fenêtre qui liste les malwares identifiés a un look très similaire à celui du centre de sécurité de Windows XP.

Iap_malware_screenshot_4

Sans attendre, je clique « OK ».

La fenêtre de téléchargement de mon navigateur s'ouvre pour que je puisse récupérer le fichier « IAInstall.exe » : Cela doit être le logiciel Internet Antivirus auquel il a été fait référence avant. Notez qu'une nouvelle fenêtre m'indique comme télécharger le fichier et comment le lancer : L'attaquant fait tout ce qu'il peut pour que cette dernière étape se déroule sans encombre.

Iap_malware_screenshot_5

Une fois le téléchargement terminé, un autre pop-up apparaît indiquant qu'il ne faut pas que je ferme la fenêtre si je veux que ma machine soit « propre ». Il est intéressant de noter comment elle se positionne au dessus de l'autre : On me rappelle qu'il faut lancer l'exécutable.

Iap_malware_screenshot_6

Je ne lance pas l'exécutable. De toute façon, comme je suis sous Linux (Ubuntu en l'occurrence) je ne risque pas grand chose. :-)

J'ai volontairement répété ces manipulations à deux jours d'intervalle (Samedi 11 et Dimanche 12). Le site Internet était parfaitement disponible et tout à fait performant.

J'ai ensuite pris les fichiers « IAInstall.exe » téléchargés et les ait soumis au site Virustotal.com pour analyse. Les résultats sont intéressants :

Clairement, les personnes qui se pensent protégées par leur seul antivirus ont des questions à se poser.

A priori, il s'agirait d'un trojan : Peu d'informations sont disponibles au moment ou j'écris ces lignes. Une analyse du nom de domaine du site web est aussi intéressante : Le nom de domaine a été déposé par une personne habitant en Chine (Fujian) et le site est hébergé en Latvie... Un cocktail intéressant.

En conclusion
Un utilisateur « non averti » utilisant Windows peut très facilement tomber dans le panneau. La réalisation est très bien faite, le look&feel ayant été particulièrement soigné ; seule la langue des fenêtres peut être source de soupçons : un utilisateur ayant un système en Français sera un peu surpris qu'on lui parle en anglais...
Après, comme les utilisateurs ont tendance à cliquer sur « OK » quand ils ne comprennent pas, de grandes chances d'arriver à la phase finale du processus.
Le fait que seul un nombre restreint d'antivirus détectent ce malware est aussi un gage de réussite pour l'attaquant...
... Tout cela en cliquant sur un résultat de recherche de Google.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens