Sommaire
Les banques et les institutions financières risquent de passer un mauvais quart d’heure après la découverte de Shifu, un cheval de Troie très sophistiqué qui possède même son propre antivirus.
Selon le staff de l’IBM Security X-Force, on a découvert ce cheval de Troie en avril 2015 et il a été détecté par l’IBM Red Cell, une Task Force de sécurité qui est dédiée au secteur financier. Le cheval de Troie a été nommé Shifu qui signifie voleur en japonais. Depuis son apparition, Shifu cible les banques et les institutions financières au Japon, en Allemagne, en France, en Angleterre et dans d’autres pays européens. Actuellement, IBM a déclaré qu’il a détecté une attaque de Shifu contre 14 banques japonaises.
Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊
Les développeurs ont joué au Dr Frankenstein pour créer le cheval de Troie Shifu
Shifu est un cheval de Troie vraiment particulier. IBM a déclaré que ce ne sont pas des ados attardés qui l’ont conçu, mais des développeurs très expérimentés. En gros, ils ont pris les meilleures capacités d’attaque des autres chevaux de Troie célèbres et ils les ont réunis dans Shifu (oui, c’est aussi craignos que la description). IBM a fourni une liste des fonctions intégrées dans Shifu et on peut citer :
- Un Domain Generation Algorithm (DGA) pour cacher ses communications avec ses Botnets (provient du trojan Shiz)
- Vols de mot de passe, de fichiers de token d’authentification, de clés de certificat et de données sensibles provenant des applets Java (provient des Trojans Shiz et Corcow).
- Des techniques anti-recherche pour se cacher des outils d’analyse (provient du trojan Zeus)
- Un schéma d’exécution de commande furtif pour se cacher à l’intérieur du dossier Windows (provient des trojans Gozi/ISFB).
- Des fichiers de configuration en XML (provient du Trojan Dridex)
- Supprime les points de restauration du système sur les machines infectées (provient du Trojan Conficker)
- Communique via une connexion sécurisée avec un certificat auto-signé (provient du trojan Dyre)
En combinant les meilleures attaques des chevaux de Troie disponibles sur le marché, les créateurs de Shifu ont conçu un Malware très sophistiqué qui est difficile à détecter et qui peut avoir plusieurs cibles en même temps. Et comme si cela ne suffisait pas, Shifu utilise une architecture modulaire qui lui permet de communiquer avec un serveur C&C (Command and Control) pour recevoir des instructions en temps réel et charger des modules selon les caractéristiques de la machine infectée.
Les modules par défaut du Trojan Shifu
- Un outil pour bloquer la recherche
- Un outil pour bloquer les machines virtuelles
- Un outil pour bloquer la Sandbox
RAT (outil d’accès à distance) - Système pour se connecter au navigateur
- Webinject Parser
- Prise de captures d’écran
- Capture de certificats
- Keylogger
- Module de contrôle par bot
- Classification par Endpoint
- Module pour surveiller les applications intéressantes
Selon IBM, le cheval de Troie Shifu a été détecté en train de voler des informations provenant d’une grande variété d’appareils et de plateformes. Shifu peut voler des identifiants dans des formulaires HTML, des tokens d’authentification provenant d’applications bancaires et trouver et voler des certificats privés. Shifu peut même détecter des lecteurs de cartes qui sont connectés à un PC et il peut extraire les données qui sont dedans. Et les crypto-monnaies ne sont pas en reste puisque Shifu peut aussi voler des portefeuilles de Bitcoin et d’autres monnaies similaires. Et si Shifu détecte qu’il a atterri sur une plateforme de type POS (terminal de paiement), alors il peut déployer un module spécifique pour collecter les données sur ce type de système. Et ce n’est pas encore fini.
Shifu possède son propre antivirus
Et la fonctionnalité ironique pour le cheval de Troie Shifu est qu’il est doté de son propre antivirus. Vous avez bien entendu. Si Shifu arrive à infecter une machine, il va déployer une solution anti-malware pour bloquer tous les autres Malwares qui pourraient viser la machine. Si l’antivirus de Shifu détecte des fichiers exécutables suspects provenant de connexions HTTP, alors il va tenter de les bloquer. S’il n’y arrive pas, alors Shifu va renommer le fichier en infectedxx.exx et les envoyer sur son serveur C&C. Si le Malware concurrent est conçu pour exploiter l’Autorun, alors Shifu va afficher un message de mémoire insuffisante au système pour bloquer cet Autorun. En utilisant son propre antivirus, Shifu veut être le seul maitre de la machine infectée. Les profits sont exclusifs et les développeurs de Shifu montrent qu’ils ont parfaitement compris le principe de la libre et saine concurrence.
Et sur les origines du cheval de Troie Shifu, son code suggère que les développeurs sont russes. Mais IBM estime que c’est très difficile à identifier, car Shifu exploite du code provenant de nombreux Malwares sur le marché.
Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊