Vadokrist

L'Amérique latine a continué d'être le terrain privilégié pour le déploiement de chevaux de Troie bancaires. L'une de ces menaces, active depuis au moins 2018 et toujours en cours de développement, est Vadokrist. Les chercheurs ont analysé le code sous-jacent du Vadokrist et ont découvert qu'il partageait plusieurs caractéristiques avec plusieurs autres familles de chevaux de Troie bancaires de la région, principalement Mekotio, Casbaneiro, Grandoreiro et Amavaldo. Pourtant, plusieurs caractéristiques distinguent Vadokrist des autres.

Le premier aspect particulier de la menace est l'inclusion d'une quantité substantielle de code inutilisé dans les binaires. L'objectif était le plus susceptible d'augmenter les chances de la menace d'éviter d'être détectée tout en prolongeant le temps nécessaire à une analyse correcte du code. Les versions antérieures de Vadokrist stockaient des chaînes dans une seule table de chaînes, d'une manière similaire à Casbaneiro, mais les variantes plus récentes incluent plusieurs tables de chaînes, chacune chargée d'un objectif différent.

Le deuxième écart majeur présenté par Vadokrist est dans sa routine de collecte de données. La plupart des chevaux de Troie bancaires d'Amérique latine collectent diverses informations sur leurs victimes, telles que les noms d'ordinateurs et les versions du système d'exploitation Windows lors de leur première exécution. Vadokrist ne collecte pas seulement un plus petit sous-ensemble de données; il ne récolte que le nom d'utilisateur de la victime, mais il le fait au moment où une attaque est lancée contre une institution financière.

Les capacités de porte dérobée de Vadokrist sont égales pour le cours. La menace peut manipuler la souris et simuler l'entrée du clavier, établir une routine de keylogger, prendre des captures d'écran arbitraires et redémarrer le système infecté. Il est également équipé d'un moyen assez lourd d'empêcher les utilisateurs d'accéder à certains sites Web en tuant directement le processus du navigateur Web. Le mécanisme de persistance de la menace comprend la génération d'une clé d'exécution ou d'un fichier LNK publié dans le dossier de démarrage.

Vecteur d'attaque

Vadokrist est propagé par le biais d'une campagne de courrier indésirable. Les victimes sont ciblées par des e-mails d'appât contenant deux pièces jointes corrompues - des archives ZIP avec un programme d'installation MSI et une archive CAB. La chaîne d'attaque ignore la phase de téléchargement avec Vadokrist livré directement par les e-mails.

Lorsque l'utilisateur exécute le programme d'installation MSI, il trouve l'archive CAB et extrait son contenu sur le disque. Il procède ensuite à l'exécution et à l'incorporation d'un fichier JavaScript qui a établi le mécanisme de persistance. Le script redémarre le système compromis et, lors du chargement, passe à l'exécution du malware Vadokrist lui-même.

Le fichier JavaScript utilise une nouvelle méthode d'obfuscation - il abuse de la façon dont l'opérateur virgule fonctionne dans JavaScript pour réduire la lisibilité et éviter l'émulation de manière significative. Les opérations utilisant l'opérateur logique AND sont obscurcies par une technique similaire.