Les chercheurs d'ESET ont découvert une nouvelle campagne de logiciels malveillants utilisant des certificats numériques volés.

Nous avons repéré cette campagne de logiciels malveillants lorsque nos systèmes ont marqué plusieurs fichiers suspects. Fait intéressant, les fichiers marqués ont été signés numériquement à l'aide d'un certificat de signature de code de D-Link Corporation valide. Le même certificat avait été utilisé pour signer un logiciel D-Link non malveillant; le certificat a donc probablement été volé.

Après avoir confirmé la nature malveillante du fichier, nous avons avisé D-Link, qui a lancé sa propre enquête sur l'affaire. Par conséquent, le certificat numérique compromis a été révoqué par D-Link le 3 juillet 2018.

Figure 1 - Le certificat de signature de code de D-Link Corporation utilisé pour signer les logiciels malveillants

Le logiciel malveillant

Notre analyse a permis d'identifier deux familles de logiciels malveillants qui utilisaient abusivement le certificat volé : le logiciel malveillant Plead, une porte dérobée télécommandée et un composant de vol de mot de passe. Récemment, le JPCERT a publié une analyse approfondie de la porte dérobée Plead, qui est, selon Trend Micro, utilisée par le groupe de cyberespionnage BlackTech.

Figure 2 : Le certificat de signature de code de Changing Information Technology Inc. utilisé comme signature de logiciels malveillants

En plus des échantillons de Plead signés avec le certificat D-Link, les chercheurs d'ESET ont également identifié des échantillons signés à l'aide d'un certificat appartenant à une société de sécurité taïwanaise nommée Changing Information Technology Inc.

Malgré le fait que le certificat de Changing Information Technology Inc. a été révoqué le 4 juillet 2017, le groupe BlackTech l'utilise toujours pour signer ses outils malveillants.

La capacité de compromettre plusieurs entreprises technologiques taïwanaises et de réutiliser leurs certificats de signature de code lors d'attaques futures montre que ce groupe est hautement qualifié et concentre ses efforts sur cette région.

Les échantillons signés de logiciels malveillants Plead sont fortement obscurcis par le code bidon. Le but du logiciel malveillant est similaire dans tous les échantillons. Il télécharge depuis un serveur distant ou ouvre depuis le disque local un petit blob binaire chiffré. Ce blob binaire contient un shellcode chiffréé, qui télécharge le module final de la porte dérobée Plead.

Figure 3 - Code obscurci du logiciel malveillant Plead

L'outil de vol de mot de passe est utilisé pour collecter les mots de passe enregistrés dans les applications suivantes :

  • Google Chrome
  • Microsoft Internet Explorer
  • Microsoft Outlook
  • Mozilla Firefox

Pourquoi voler des certificats numériques?

L'utilisation abusive des certificats numériques est l'une des nombreuses façons dont les cybercriminels tentent de masquer leurs intentions malveillantes. Puisque les certificats volés laissent apparaître les logiciels malveillants comme des applications légitimes, les logiciels malveillants ont plus de chances d'échapper aux mesures de sécurité sans éveiller les soupçons.

Le logiciel malveillant le plus connu ayant utilisé plusieurs certificats numériques volés est probablement le ver Stuxnet, découvert en 2010. Cet infâme logiciel malveillant était à l'origine de la toute première cyberattaque visant les infrastructures critiques. Stuxnet a utilisé des certificats numériques volés à RealTek et un à JMicron, deux sociétés technologiques basées à Taiwan bien connues.

Cependant, la tactique n'est pas exclusive aux incidents très médiatisés comme Stuxnet, comme en témoigne cette découverte récente.

Indicateurs de compromission (IoCs)

ESET detection names
Win32/PSW.Agent.OES trojan
Win32/Plead.L trojan
Win32/Plead.S trojan
Win32/Plead.T trojan
Win32/Plead.U trojan
Win32/Plead.V trojan
Win32/Plead.X trojan
Win32/Plead.Y trojan
Win32/Plead.Z trojan

Unsigned samples (SHA-1)
80AE7B26AC04C93AD693A2D816E8742B906CC0E3
62A693F5E4F92CCB5A2821239EFBE5BD792A46CD
B01D8501F1EEAF423AA1C14FCC816FAB81AC8ED8
11A5D1A965A3E1391E840B11705FFC02759618F8
239786038B9619F9C22401B110CF0AF433E0CEAD
Signed samples (SHA-1)
1DB4650A89BC7C810953160C6E41A36547E8CF0B
CA160884AE90CFE6BEC5722FAC5B908BF77D9EEF
9C4F8358462FAFD83DF51459DBE4CD8E5E7F2039
13D064741B801E421E3B53BC5DABFA7031C98DD9

C&C servers
amazon.panasocin[.]com
office.panasocin[.]com
okinawas.ssl443[.]org

Code signing certificates serial numbers
D-Link Corporation: 13:03:03:e4:57:0c:27:29:09:e2:65:dd:b8:59:de:ef
Changing Information Technology Inc: 73:65:ed:e7:f8:fb:b1:47:67:02:d2:93:08:39:6f:51
1e:50:cc:3d:d3:9b:4a:cc:5e:83:98:cc:d0:dd:53:ea