publicité

L0rdix : le nouveau couteau suisse du piratage Windows


Sécurité : Le nouvel outil combine le vol de données et l’extraction de cryptomonnaie dans un produit idéal pour attaquer les machines Windows.

Un nouvel outil de piratage qui circule dans les forums clandestins est présenté comme la dernière offre universelle "idéale" pour les attaquants ciblant les ordinateurs Microsoft Windows.

Le logiciel s'appelle L0rdix et, selon les chercheurs en sécurité de la société enSilo, "vise à infecter les machines Windows, combine des méthodes d'extraction de données volées et de minage de cryptomonnaies, [et] permet d'éviter les outils d'analyse des logiciels malveillants."

 

Dans un article publié mardi sur le blog de la société, Ben Hunter, chercheur chez EnSilo, a déclaré que cet outil est relativement nouveau et disponible à l'achat. Il existe cependant des indicateurs selon lesquels L0rdix est en cours de développement, en dépit de nombreuses fonctions déjà implémentées dans le programme malveillant.

Écrit en .NET, L0rdix a été développé pour la furtivité. Le logiciel malveillant est masqué à l'aide de l’outil d’obfuscation standard ConfuserEx et certains échantillons ont été modifiés avec un outil plus sophistiqué .NETGuard.

Sous le radar

Les développeurs de L0rdix ont apporté une attention particulière aux environnements virtuels et aux sandbox. Ces outils sont couramment utilisés par les chercheurs à des fins d'ingénierie inverse et d'analyse des logiciels malveillants.

L0rdix non seulement effectue un certain nombre d'analyses standard pour détecter ces environnements, mais utilise également des requêtes WMI et des clés de registre pour rechercher des chaînes pouvant indiquer des produits en mode sandbox.

"Les vérifications moins courantes effectuées par L0rdix incluent des processus de recherche qui chargent sbiedll.dll, une bibliothèque logicielle qui appartient au produit sandboxie. Le but pour le malware est d'éviter de s'exécuter dans un simple outil d'environnement virtuel gratuit" a ajouté Hunter.

Le malware a été conçu dans l’optique d’être vendu, et contient cinq modules de base avec des fonctionnalités de mise à jour automatique de la configuration et une structure qui permet d’intégrer facilement les futurs modules à L0rdix.

Une fois qu'un ordinateur est infecté, le programme malveillant extrait des informations, notamment la version du système d'exploitation, l'ID de périphérique, le modèle de processeur, les produits antivirus installés et les privilèges des utilisateurs actuels. Ces informations sont chiffrées et envoyées au serveur de commande et contrôle (C2), avec une capture d'écran de la machine.

Adapté aux besoins

Les fichiers du logiciel malveillant et les paramètres de configuration sont ensuite mis à jour en fonction de ces informations. C'est à ce stade que L0rdix "décide" si l'extraction de cryptomonnaie et le vol de données sont appropriés ou non.

L0rdix infectera alors tous les lecteurs amovibles, remplaçant leurs icônes et en masquant les fichiers et répertoires de lecteurs légitimes. "Tout cela est fait pour s'assurer que le malware sera exécuté par l'utilisateur en double-cliquant dessus sur une autre machine" explique le chercheur.

Une autre fonction est responsable de la persistance. Le logiciel malveillant se copiera dans un certain nombre d’emplacements traditionnels, tels que les tâches planifiées - mais il s’agit d’un domaine qui doit encore être amélioré.

L0rdix est également capable d’agir en tant que botnet en asservissant le PC infecté, avec des commandes facultatives comprenant l’ouverture d’URL spécifiques dans un navigateur (potentiellement utilisables pour l’inondation de domaine dans les attaques par déni de service distribué), en bloquant des processus spécifiques, le chargement et l’exécution de charges utiles supplémentaires et exécution de commandes cmd.

En outre, le programme malveillant est capable de surveiller le presse-papiers de Windows pour détecter des signes de portefeuille et de chaîne de cryptomonnaie. S'il le trouve, ce contenu est envoyé au C2 et L0rdix aura également pour objectif de collecter les cookies et les informations d'identification du navigateur.

En ce qui concerne l'extraction frauduleuse de cryptomonnaies, certains échantillons contiennent du code de cryptominage - mais enSilo pense que celui-ci a été développé au cours de l'une des dernières étapes du codage, car cette fonctionnalité est absente dans certains exemples.

"S'il est très facile de constater que beaucoup d’efforts ont été déployés pour échapper aux environnements virtuels et aux outils d'analyse, ainsi que pour l'implémentation du module de vol, L0rdix présente toujours des modules inachevés et des détails de mise en œuvre inachevée. Par exemple, le chiffrement trop simple ou une gestion des données entre le serveur et le client infecté en font partie" dit Hunter. "Ces indicateurs pourraient suggérer que l'outil est encore en développement."

EnSilo espérait voir à l'avenir des versions plus sophistiquées de l'outil multifonction, à mesure que L0rdix se perfectionnerait davantage pour rester attractif pour les éventuels acheteurs

Cet article est une traduction de "L0rdix becomes the new Swiss Army knife of Windows hacking" initialement publié sur ZDNet.com

A lire aussi :

Windows 10 : toucher ou regarder pour accéder à Outlook, Office 365, OneDrive, Skype

Microsoft franchit une nouvelle étape dans sa mission de connexion sans mot de passe depuis Windows 10. Les utilisateurs...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

3 réponses
Connectez vous ou Enregistrez-vous pour rejoindre la discussion
    
  • La grosse merde qui fait du cryptominage mais qui peut être détourné pour de l'espionnage industriel, du rançonnage ou du sabotage... tout ce que kiffe les gouvernements.
  • 
  • En vérité, en vérité, je vous le dit:
    Les produits Mi¢ro$oft sont bons pour nous!
    (le hic, c'est que le nous ne représente qu'une infime partie de la population)
      
    • Je me disais bien que tu appartenais à une secte...
publicité