Pour revenir aux fondamentaux, un article concernant une campagne d’un cheval de troie par Torrent.
Reçu par PM sur Twitter, une vidéo plus que douteuse.
Au bout du compte un Trojan RAT avec quelques astuces pour tromper les internautes et antivirus.
Un Trojan RAT par Torrent
Le fichier malveillant a été uploadé sur le site de torrent anidex.info dédié au Fansub.
Ce dernier a été supprimé mais comme internet n’oublie rien, on retrouve quelques vestiges où des internautes ont remarqué qu’il s’agit d’un fichier malveillant.
Notez le nom du fichier avec les extensions et mentions exe et mkv mélangées, nous allons y revenir.
Première méthode pour se faire passer pour une vidéo et ne pas éveiller les soupçons, la taille du fichier est d’environ 249Mo.
Bien entendu, si l’attaquant envoie un fichier pour se faire passer pour une vidéo d’une taille inférieure à 1 Mo, c’est louche.
Des espaces vides ont été insérés dans le fichier.
Lorsque l’on zip, la taille du fichier passe à 654 ko comme les espaces vides se compressent bien.
Cela aussi l’avantage de rendre la récupération du fichier par les antivirus plus difficiles, il est probable que les clients antivirus n’envoient pas l’échantillon du fichier au delà d’une certaine taille.
Cette technique a souvent été utilisée par le passé.
Ensuite pour se faire passer pour une vidéo, un caractère unicode qui permet d’inverser les caractères dans un nom de fichier a été utilisé.
Le but ici est de jouer sur les extensions de fichiers toujours pour faire passer ce dernier pour une vidéo légitime.
Ainsi, au lieu d’avoir vkm.exe en fin de fichier avec l’extension .exe qui est plus que suspicieuse, l’inversion permet d’obtenir exe.mkv
Il s’agit simplement d’une tromperie sur l’affichage du nom de fichier qui reste bien avec l’extension .exe au final.
Une personne qui ne fait pas très attention verra alors .mkv en se disant qu’il s’agit bien d’un fichier vidéo.
De plus, l’icône de Windows Media Player a été forcée dans l’exécutable du fichier du cheval de troie.
Je reviendrai avec une vidéo sur ces aspects d’inversion de caractères.
Sur Linux, cela ne fonctionne pas bien :
Certains antivirus peuvent détecter cette inversion en Exploit.RTL-7zip ou Exploit.RTL-ZIP.
Trend-Micro le détecte en HEUR_RLOTRICK, RTLO étant le nom du caractère unicode qui permet l’inversion.
=> https://www.virustotal.com/fr/file/300fd98e92dc5037c4000039ef0fa32ab2f96af4c83b9ab45b870ef7182a7328/analysis/
A noter aussi que le malware est signé numériquement, bien que la signature ne soit pas valide.
Plus d’informations sur la signature numérique : signature numérique de fichiers et virus/malwares
Un Trojan RAT sur une IP SFR
Au final, on obtient un Trojan RAT qui se copie dans “C:\Users\<user>\Documents\vlc.exe”.
Le cheval de troie se connecte à un serveur sur une IP SFR, le pirate derrière est donc français, dans le coin de Lyon apparemment.
Le DNS du malware qwerty1010.sytes.net
qwerty1010.sytes.net has address 109.24.246.198
