Vous êtes sur le site public du Cert-IST
Un malware qui stocke ses données sur « Sendspace »

Date :01 Juin 2012

Publication: Article

Introduction

Dans cet article, nous revenons sur un billet du blog de l’éditeur antivirus Trend Micro (cité en fin d’article) qui signale l’apparition d’un nouveau cheval de Troie capable de voler des documents sur un poste infecté et de les déposer automatiquement sur le service d’hébergement de fichier Sendspace. Même si le billet date un peu (février 2012), il n’en reste pas moins intéressant. En effet, il était déjà connu que les hackers utilisaient des services en ligne de partage de fichiers pour publier des données volées, mais c’est la première fois à notre connaissance que ce processus est automatisé au sein d’un malware.

Le présent article nous donnera aussi l’occasion de fournir des recommandations quant à l’utilisation de services de stockage et partage de fichiers en ligne. 

Déroulement de l’attaque 

Le processus d’infection du système et la récupération d’informations se déroulent selon les étapes suivantes :

  1. La victime reçoit d’abord un e-mail ressemblant à une notification d’expédition de colis de FedEx. Ce message comporte une pièce jointe, censée être la facture associée au service. Dans le cas observé, le fichier se nomme « Fedex_Invoice.exe ».
  2. Lorsque l’utilisateur ouvre l’exécutable joint, celui-ci télécharge et installe plusieurs programmes malveillants sur le système : des faux antivirus, des logiciels publicitaires, et bien sûr le cheval de Troie voleur d’informations sur lequel nous allons nous concentrer. Celui-ci est détecté par les antivirus Trend Micro sous le nom « TSPY_SPCESEND.A ».
  3. Le cheval de Troie TSPY_SPCESEND.A est ensuite exécuté et il parcourt le disque dur à la recherche de documents Word et Excel.
  4. Il rassemble ces documents et les archive dans un fichier ZIP dont le nom est choisi aléatoirement. L’archive ainsi générée est stockée dans le répertoire temporaire de l’utilisateur et protégée par un mot de passe, également choisi de manière aléatoire.
  5. Le fichier ZIP est alors déposé (upload) sur le service d’hébergement de fichiers Sendspace. L’URL permettant de récupérer le fichier, qui est générée par Sendspace, est récupérée par le code.
  6. Enfin, le code malveillant envoie les données suivantes à son serveur de contrôle (C&C) :
    • Un identifiant : un numéro unique assigné par le malware pour identifier la victime,
    • Le lien Sendspace pointant vers le fichier ZIP (Les liens Sendspace ont une forme du type www.sendspace.com/file/xxxxxx),
    • Le mot de passe permettant de déverrouiller le fichier ZIP,
    • L’adresse IP de la victime.

Conséquences de la campagne de spam et réaction de Sendspace 

Trend Micro a analysé les fichiers de log générés sur le serveur C&C utilisé par le cheval de Troie et a identifié, en se basant sur le numéro unique retrouvé dans ces logs, que l’infection avait touché 18 644 victimes. Cela constitue en fait une attaque assez modeste par rapport aux attaques réalisées par d’autres malwares à distribution massive, mais on notera quand même que plus de 150 pays ont été touchés (les entités identifiées comprendraient des gouvernements, des réseaux académiques, des réseaux d’entreprises …). La première archive aurait été déposée sur Sendspace le 25 décembre 2011, ce qui indique probablement le début de la campagne de distribution de ce malware. 

Sendspace a collaboré avec Trend Micro et à la suite de l’investigation, plus de 75 000 archives malveillantes ont été supprimées de ses serveurs. En outre, l’hébergeur a mis en place un processus de surveillance s’exécutant plusieurs fois par heure, qui supprime les archives déposées par le malware, ce qui empêche les cybercriminels derrière cette opération de télécharger et d’exploiter les données volées. 

Evolution et tendances 

Il s’agit de la première fois que nous identifions, au cours de notre veille technologique, un malware utilisant automatiquement un service d’hébergement de fichiers pour stocker les données volées sur les postes infectés. Ces sites d’hébergement « en un clic » comme on les appelle parfois (« one-click hoster » en anglais) constituent pourtant pour les cybercriminels un moyen de stockage intelligent, puisqu’ils ne coûtent rien et qu’ils permettent d’éviter la mise en place de serveurs dédiés à la conservation de grandes quantités de données.

Même si le poids lourd de l’hébergement en un clic (MegaUpload) a été fermé en début d’année par les autorités américaines, nous pensons que les malwares utilisant ce type de services peuvent se généraliser. En effet, les services similaires à Sendspace sont légion sur Internet (par exemple : RapidShare, 4shared, MediaFire, Jumbofiles, Deposittfiles, Fileden etc.) et leur utilisation depuis un code malveillant est un moyen simple et pratique pour exfiltrer des données (aucune authentification requise, aucune API particulière, utilisation du protocole HTTP …). Le stockage automatique de données volées par les logiciels espions dans les clouds publics pourrait donc bien devenir une tendance des mois/années à venir. 

Conclusion, recommandations 

Il est courant dans le cadre d’attaques ciblées ou de compromission de sites par des mouvements « hactivistes » que les données volées soient ensuite déposées sur des sites d’hébergement en un clic. Mais il est aujourd’hui préoccupant de constater que des codes malveillants sont capables d’automatiser cette tâche, qui plus est, des codes diffusés par des campagnes massives de spam. Nous pensons donc qu’il est primordial de définir au sein des entreprises une politique stricte quant à l’accès à ces services en ligne. Le blocage pur et simple de l’accès à ces sites peut de notre point de vue être un moyen efficace de lutter contre de nombreux cas d’exfiltration de données. 

Pour plus d’informations :