Logiciel malveillant Foudre

Le Malware Foudre est un outil menaçant écrit en Delphi. The Foudre Malware fait partie de l'arsenal de ce que l'on pense être un acteur APT (Advanced Persistent Threat) soutenu par l'Iran, nommé Infy. Les preuves suggèrent que ce groupe de pirates informatiques est actif depuis au moins 2007. Les cybercriminels ont mené des opérations actives pendant des années jusqu'à ce qu'une tentative de retrait par des chercheurs de l'Infosec les ait obligés à dormir.

Désormais, une nouvelle campagne d'attaque attribuée à Infy a été découverte. L'opération se poursuit depuis plusieurs années et utilise de nouveaux outils et techniques malveillants. Il semble que les hackers d'Infy essaient de garder un profil bas avec leurs activités. Le groupe d'entités ciblées semble cohérent avec leurs entreprises précédentes avec l'exclusion notable de toute victime iranienne.

L'une des nouvelles armes utilisées par les hackers est le Foudre Malware. Le logiciel malveillant Foudre agit comme une charge utile intermédiaire chargée de transmettre la menace finale du logiciel malveillant aux systèmes compromis. Le Foudre Malware infecte ses cibles en se cachant à l'intérieur de documents conçus pour inciter les victimes à les ouvrir. Les documents menaçants sont généralement rédigés entièrement en persan, avec deux échantillons observés parlant soit du gouverneur de la ville de Dorud dans la province du Lorestan, en Iran, soit prétendant être envoyés par l'ISAAR, la Fondation des martyrs et des anciens combattants parrainée par le gouvernement iranien. L'agence ISAAR accorde des prêts aux anciens combattants handicapés du pays et à leurs familles.

Lorsque la victime ouvre le document de leurre, elle déclenche une macro menaçante qui dépose une archive auto-extractible dans le répertoire temporaire de l'ordinateur sous le nom fwupdate.temp. Il est à noter que la macro est exécutée lorsque la victime ferme le document. Lorsque Foudre est déployé, il tente d'établir une connexion avec son serveur Command-and-Control (C2, C&C). Foudre authentifie le serveur C2 en téléchargeant un fichier de signature. Une fois la vérification réussie, le logiciel malveillant recherche toutes les mises à jour disponibles en essayant de télécharger un deuxième fichier de signature. Enfin, il supprime la charge utile de la phase finale - une menace de malware nommée Tonnerre Malware.

Au cours de cette dernière explosion d'activité des hackers d'Infy, les chercheurs d'Infosec ont réussi à observer plusieurs versions différentes du Foudre Malware en cours de déploiement. Bien que pour la plupart, ces versions incluent uniquement des modifications techniques mineures, telles que des noms de fenêtres différents, des noms de fonctions d'exportation et des chaînes, les versions les plus récentes contiennent des améliorations clés.

Le Foudre Malware a été équipé d'un algorithme de génération de domaine mis à jour qui pourrait rendre la détection de la menace un peu plus difficile si les fournisseurs de sécurité tentent de l'attraper en utilisant DGA précédemment découvert. Pour mieux se protéger des tentatives de retrait, Infy inclut désormais dans ses outils de malware une routine de vérification C2 RSA.