De temps en temps, une nouvelle variante de logiciel malveillant apparaît comme un rappel rapide que les enjeux de sécurité ne cessent d'augmenter. Le cheval de Troie bancaire QakBot/Pinkslipbot en fait partie. Le malware, qui ne se contente pas de récolter des informations d'identification bancaires, peut désormais persister et agir comme un serveur de contrôle, longtemps après qu'un produit de sécurité a cessé d'atteindre son objectif initial.
Comment OakBot/Pinkslipbot reste-t-il actif ? Et comment pouvez-vous le supprimer complètement de votre système ?
Ce cheval de Troie bancaire porte deux noms :QakBot et Pinkslipbot. Le malware lui-même n'est pas nouveau. Il a été déployé pour la première fois à la fin des années 2000, mais pose toujours des problèmes plus d'une décennie plus tard. Désormais, le cheval de Troie a reçu une mise à jour qui prolonge l'activité malveillante, même si un produit de sécurité réduit son objectif initial.
L'infection utilise le plug-and-play universel (UPnP) pour ouvrir les ports et permettre les connexions entrantes de n'importe qui sur Internet. Pinkslipbot est ensuite utilisé pour récolter des identifiants bancaires. La gamme habituelle d'outils malveillants :enregistreurs de frappe, voleurs de mots de passe, attaques de navigateur MITM, vol de certificats numériques, informations d'identification FTP et POP3, etc. Le logiciel malveillant contrôle un botnet dont on estime qu'il contient plus de 500 000 ordinateurs. (Qu'est-ce qu'un botnet, au fait ?)
Le logiciel malveillant se concentre principalement sur le secteur bancaire américain, avec 89 % des appareils infectés trouvés dans des établissements de trésorerie, d'entreprise ou commerciaux.
Les chercheurs de McAfee Labs ont découvert la nouvelle variante Pinkslipbot.
"Comme l'UPnP suppose que les applications et les appareils locaux sont dignes de confiance, il n'offre aucune protection de sécurité et est sujet aux abus par toute machine infectée sur le réseau. Nous avons observé plusieurs proxys de serveur de contrôle Pinkslipbot hébergés sur des ordinateurs distincts sur le même réseau domestique ainsi que quoi semble être un point d'accès Wi-Fi public", déclare Sanchit Karve, chercheur McAfee Anti-Malware. "Pour autant que nous sachions, Pinkslipbot est le premier malware à utiliser des machines infectées comme serveurs de contrôle basés sur HTTPS et le deuxième malware basé sur des exécutables à utiliser UPnP pour la redirection de port après le tristement célèbre ver Conficker en 2008."
Par conséquent, l'équipe de recherche de McAfee (et d'autres) tente d'établir exactement comment une machine infectée devient un proxy. Les chercheurs pensent que trois facteurs jouent un rôle important :
Par exemple, le logiciel malveillant télécharge une image à l'aide du service Speed Test de Comcast pour vérifier que la bande passante disponible est suffisante.
Une fois que Pinkslipbot a trouvé une machine cible appropriée, le logiciel malveillant émet un paquet Simple Service Discovery Protocol pour rechercher des périphériques de passerelle Internet (IGD). À son tour, l'IGD est vérifié pour la connectivité, avec un résultat positif voyant la création de règles de redirection de port.
Par conséquent, une fois que l'auteur du logiciel malveillant décide si une machine est susceptible d'être infectée, un fichier binaire de cheval de Troie se télécharge et se déploie. Il est responsable de la communication proxy du serveur de contrôle.
Même si votre suite antivirus ou anti-malware a détecté et supprimé avec succès QakBot/Pinkslipbot, il est possible qu'il serve toujours de proxy de serveur de contrôle pour le malware. Votre ordinateur est peut-être encore vulnérable, sans que vous vous en rendiez compte.
"Les règles de redirection de port créées par Pinkslipbot sont trop génériques pour être supprimées automatiquement sans risquer des erreurs de configuration accidentelles du réseau. Et comme la plupart des logiciels malveillants n'interfèrent pas avec la redirection de port, les solutions anti-malware peuvent ne pas annuler ces modifications", déclare Karve. "Malheureusement, cela signifie que votre ordinateur peut toujours être vulnérable aux attaques extérieures même si votre produit antimalware a réussi à supprimer tous les binaires Pinkslipbot de votre système."
Le logiciel malveillant est doté de capacités de ver, ce qui signifie qu'il peut s'auto-répliquer via des lecteurs réseau partagés et d'autres supports amovibles. Selon les chercheurs d'IBM X-Force, cela a provoqué des verrouillages d'Active Directory (AD), obligeant les employés des organisations bancaires concernées à se déconnecter pendant des heures.
McAfee a publié l'Outil de détection de proxy et de transfert de port de Pinkslipbot Control Server (ou PCSPDPFRT, pour faire court... je plaisante). L'outil est disponible en téléchargement ici. De plus, un court manuel d'utilisation est disponible ici [PDF].
Une fois que vous avez téléchargé l'outil, faites un clic droit et Exécuter en tant qu'administrateur .
L'outil analyse automatiquement votre système en "mode détection". S'il n'y a pas d'activité malveillante, l'outil se fermera automatiquement sans apporter de modifications à la configuration de votre système ou de votre routeur.
Cependant, si l'outil détecte un élément malveillant, vous pouvez simplement utiliser le /del commande pour désactiver et supprimer les règles de redirection de port.
Il est quelque peu surprenant de voir un cheval de Troie bancaire d'une telle sophistication.
Mis à part le ver Conficker susmentionné, "les informations sur l'utilisation malveillante de l'UPnP par les logiciels malveillants sont rares". Plus précisément, c'est un signal clair que les appareils IoT utilisant UPnP sont une cible (et une vulnérabilité) énorme. Alors que les appareils IoT deviennent omniprésents, vous devez admettre que les cybercriminels ont une opportunité en or. (Même votre réfrigérateur est en danger !)
Mais alors que Pinkslipbot se transforme en une variante de logiciel malveillant difficile à supprimer, il n'est toujours classé qu'au 10e rang des types de logiciels malveillants financiers les plus répandus. La première place est toujours détenue par Client Maximus.
L'atténuation reste essentielle pour éviter les logiciels malveillants financiers, qu'il s'agisse d'une entreprise, d'une entreprise ou d'un utilisateur à domicile. Une formation de base contre l'hameçonnage et d'autres formes d'activités malveillantes ciblées contribue grandement à empêcher ce type d'infection d'entrer dans une organisation, voire dans votre domicile.
Affecté par Pinkslipbot ? Était-ce à la maison ou dans votre organisation ? Avez-vous été verrouillé hors de votre système ? Faites-nous part de vos expériences ci-dessous !
Crédit image :akocharm via Shutterstock