Zanubis : parcours d’un cheval de Troie bancaire discret ciblant les crypto-monnaies
septembre 2023 par Kaspersky
Les experts de Kaspersky ont récemment étudié une campagne mise en œuvre par Zanubis, un cheval de Troie bancaire qui se distingue par son aptitude à prendre l’apparence d’applications légitimes. L’enquête fournit également des éléments sur le crypteur/chargeur AsymCrypt et le stealer Lumma, soulignant ainsi la nécessité toujours plus importante d’une sécurité numérique renforcée.
Zanubis, un cheval de Troie bancaire opérant sur Android, a fait surface en août 2022, ciblant les usagers de services financiers et de crypto-monnaies au Pérou. En se faisant passer pour des applications Android péruviennes légitimes, il incite les utilisateurs à accorder des autorisations en termes d’accessibilité aux ressources du téléphone, les poussant ainsi à en céder le contrôle. En avril 2023, Zanubis a évolué pour se faire passer pour l’application officielle de l’organisation gouvernementale péruvienne SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria), ce qui témoigne d’une sophistication accrue. Le code du groupe malveillant est obscurci à l’aide d’Obfuscapk, un obscurcisseur populaire pour les fichiers APK Android. Une fois l’autorisation d’accéder à l’appareil obtenue, Zanubis dupe sa victime en chargeant un véritable site web du SUNAT à l’aide de WebView, ce qui lui donne une apparence légitime.
Pour communiquer avec son serveur de contrôle, le cheval de Troie utilise des WebSocket et une bibliothèque appelée Socket.IO. Cela lui permet de s’adapter et de rester connecté même en cas de problème. Contrairement à d’autres logiciels malveillants, Zanubis n’a pas de liste arrêtée concernant les applications qu’il cible, et peut être programmé à distance pour voler des données lorsque des applications spécifiques sont en cours d’exécution. Le maliciel génère même une deuxième connexion, qui peut donner aux acteurs malveillants qui l’opèrent le contrôle total de l’appareil de la victime. Pire encore, il peut désactiver un appareil en se faisant passer pour une mise à jour Android.
Une autre découverte récente faite par Kaspersky est le crypteur/chargeur AsymCrypt, disponible à la vente sur le darkweb, et qui cible les portefeuilles de crypto-monnaies. Les résultats de l’enquête ont montré qu’il s’agissait d’une version évoluée du chargeur DoubleFinger, qui sert de "façade" à un service de réseau TOR. Les acheteurs peuvent personnaliser les méthodes d’injection, les processus cibles, la persistance au démarrage et les types de stub pour les DLL malveillantes, dissimulant la charge utile dans un blob crypté à l’intérieur d’une image en format .png téléchargée sur un site d’hébergement d’images. Lorsque le fichier malveillant est exécuté, l’image est décryptée, activant la charge utile dans la mémoire.
Le contrôle continu des cybermenaces par Kaspersky a également permis de détecter le stealer Lumma, une série de logiciels malveillants en cours de développement. Connu à l’origine sous le nom d’Arkei, Lumma conserve 46 % de ses anciens attributs. Déguisé en convertisseur .docx vers .pdf, sa distribution déclenche la charge utile malveillante lorsque les fichiers téléchargés reviennent avec une double extension .pdf.exe. Au fil du temps, la fonctionnalité principale de toutes les variantes développées est restée la même : voler les fichiers mis en cache, les fichiers de configuration et les journaux des portefeuilles de crypto-monnaies. Le stealer rend cela possible en agissant comme un plugin de navigateur, et prend aussi en charge l’application autonome Binance. L’évolution de Lumma comprend l’acquisition de listes de processus système, la modification des URL de connexion et l’amélioration des techniques de cryptage.
« Dans leur quête perpétuelle de gain, les cybercriminels peuvent s’avérer impitoyables, allant jusqu’à usurper l’identité d’institutions gouvernementales pour atteindre leurs objectifs. L’évolution constante du paysage des logiciels malveillants, à l’instar du stealer Lumma et de Zanubis, souligne la nature dynamique de ces menaces. S’adapter à ces évolutions constantes des codes malveillants et des tactiques des cybercriminels constitue un défi permanent pour les équipes de cybersécurité. Pour se prémunir contre ces dangers toujours changeants, les organisations doivent rester vigilantes et bien informées. Les rapports de renseignement jouent un rôle essentiel en nous permettant de nous tenir au courant des derniers outils malveillants et des dernières techniques d’attaque, ce qui nous permet de garder une longueur d’avance dans la bataille permanente pour la sécurité numérique », commente Tatyana Shishkova, chercheur principal en sécurité chez GReAT.
Pour prévenir des menaces financières, les experts de Kaspersky font les recommandations suivantes :
• Effectuez des sauvegardes hors ligne que les cybercriminels ne peuvent pas altérer, et assurez-vous de pouvoir y accéder rapidement en cas d’urgence.
• Installez une protection contre les ransomwares sur tous les postes de travail. Il existe l’outil gratuit Kaspersky Anti-Ransomware Tool for Business qui protège les ordinateurs et les serveurs contre les ransomwares et d’autres types de logiciels malveillants, empêche les exploits et est compatible avec les solutions de sécurité préinstallées.
• Pour minimiser la probabilité que des crypto-miners soient lancés, utilisez une solution de sécurité dédiée telle que Kaspersky Endpoint Security for Business avec contrôle des applications et du web ; l’analyse du comportement aide à détecter rapidement les activités malveillantes, tandis que le gestionnaire de vulnérabilités et de correctifs protège contre les crypto-miners qui exploitent les failles.