SolarSys
SolarSys est une nouvelle menace de cheval de Troie déployée contre des utilisateurs situés au Brésil. La région d'Amérique du Sud et en particulier le Brésil a enregistré beaucoup plus de campagnes d'attaque impliquant des charges utiles de chevaux de Troie bancaires que le reste du monde, et SolarSys dispose en effet de capacités de chevaux de Troie bancaires. Dans son ensemble, SolarSys est composé de plusieurs composants nuisibles, chacun étant chargé d'exécuter une action différente sur le système compromis.
Le cheval de Troie est fourni via de faux programmes d'installation MSI qui prétendent être Java ou Microsoft HTML Help. Une fois commencé. Cependant, ils appellent InstallUtil, qui est utilisé pour exécuter le fichier de bibliothèque dynamique .Net appelé « uninstall.dll » qui porte la charge utile de la porte dérobée de premier niveau. « Uninstall.dll » exécute la porte dérobée JavaScript en mémoire, configure le mécanisme de persistance en s'enregistrant sur AutoRun et exécute Install.js, un compte-gouttes responsable de la livraison des charges utiles de la deuxième étape.
Le premier module est conçu pour propager davantage le cheval de Troie bancaire en obtenant des listes de contacts sur l'ordinateur de l'utilisateur compromis et en envoyant des e-mails de phishing avec des pièces jointes contenant des logiciels malveillants. Les titres des e-mails sont définis pour sembler importants ou urgents pour attirer l'attention des cibles. Certains utilisateurs peuvent ne pas soupçonner que quelque chose ne va pas, car l'expéditeur des e-mails est une personne qu'ils connaissent. Lors de l'exécution, les pièces jointes commenceront à abandonner les charges utiles corrompues via des injections de modèles.
Le deuxième module corrompu, une partie de SolarSys, tentera de collecter les informations d'identification du navigateur Google Chrome. Parmi les informations obtenues par le logiciel malveillant figurent les données de navigation de l'utilisateur, les informations de connexion au site Web, etc.
Le dernier module est celui chargé de saisir les informations bancaires de l'utilisateur. Il est livré sous forme de fichier nommé «BOM.bin». Le cheval de Troie bancaire commence à analyser les sites Web visités par l'utilisateur compromis pour une correspondance avec sa liste de banques ciblées. Il génère ensuite une superposition affichant une fausse page de connexion, dans laquelle la victime est encouragée à saisir diverses informations de connexion qui sont ensuite exfiltrées vers les attaquants. Parmi les banques personnifiées par SolarSys figurent Banco Mercantil, Banco do Nordeste, CrediSIS, Banrisul, Safra, Banco do Brasil, Bradesco, Sicoob, Banco Itaú, Santander, Banco Inter, Banestes, Banpará et d'autres institutions bancaires brésiliennes.
