Les chercheurs d’ESET ont découvert une campagne malveillante exploitant la forte notoriété d’émissions et de jeux télévisés coréens pour distribuer une porte dérobée à travers des fichiers P2P au format torrent.
La backdoor détectée par les chercheurs d’ESET se propage via des sites de torrents sud-coréens et chinois. Le code malveillant ainsi diffusé permet à l’attaquant d’intégrer l’ordinateur compromis à un botnet sous ses ordres et de le contrôler à distance.
Il s’agit d’une version modifiée d’une porte dérobée connue et téléchargeable sur Internet appelée GoBot2. Les modifications apportées au code source original sont principalement des techniques d’évasion spécifiques à la Corée du Sud. En raison de la focalisation claire de la campagne sur la Corée du Sud, ESET a baptisé cette variante de Win64/GoBot2 : « GoBotKR ».
Avec 80 % de toutes les détections, la Corée du Sud est la plus touchée par cette campagne, suivie par la Chine (10 %) et Taiwan (5 %). Selon la télémétrie ESET, GoBotKR est actif depuis 2018.
« Les attaquants derrière cette campagne tentent d’amener les utilisateurs à exécuter le malware en piégeant le contenu des torrents avec des fichiers malveillants dont les noms, les extensions et les icônes sont trompeurs », explique Zuzana Hromcova, la chercheuse ESET qui a analysé le malware. « Ainsi, l’ouverture du fichier MP4 recherché n’entraînera aucune action malveillante. Le problème ici est que ce fichier MP4 légitime est souvent caché dans un autre répertoire, et les utilisateurs verront en premier le fichier malveillant qui l’imite », poursuit la chercheuse.
Selon les chercheurs ESET, ce malware n’est pas particulièrement complexe sur le plan technique. Mais il peut tout de même causer du tort : les acteurs derrière GoBotKR construisent un réseau de bots qui peut ensuite être utilisé pour effectuer des attaques de type déni de service distribué (DDoS) de toutes sortes.
Après avoir été exécuté, GoBotKR collecte les informations système sur l’ordinateur compromis, y compris sa configuration réseau, les informations de version du système d’exploitation et les versions des CPU et GPU. Et il collecte également la liste des logiciels antivirus installés.
« Ces informations sont envoyées à un serveur de contrôle (C&C) qui aide les attaquants à déterminer ensuite quels bots doivent être utilisés dans quelles attaques. Tous les serveurs C&C que nous avons analysés et dont nous avons extrait des échantillons de code malveillants sont hébergés en Corée du Sud et enregistrés par la même personne », explique Zuzana Hromcova.
Une fois installé sur sa victime, le bot permet de détourner l’utilisation de l’ordinateur compromis. Il permet ainsi à ses opérateurs de contrôler, ou d’étendre leur botnet, il est capable d’échapper à la détection et de rester invisible pour l’utilisateur. Parmi les commandes prises en charge figurent la possibilité de lancer une attaque DDoS contre des victimes spécifiées, de copier le malware sur des supports amovibles connectés ou dans les dossiers de certains services de stockage en ligne (Dropbox, OneDrive, Google Drive, etc) afin de propager l’infection, ou encore d’envoyer des fichiers torrents infectés avec le fichier malveillant, toujours dans le but d’étendre le botnet.
Du point de vue des chercheurs ESET, GoBotKR est particulièrement intéressant de par ses techniques d’évasion, qui ciblent spécifiquement la Corée du Sud. En particulier, le logiciel malveillant explore les processus en cours d’exécution sur le système compromis pour détecter certains produits antivirus, dont ceux d’une société de sécurité sud-coréenne. Si l’un des produits est détecté, il cesse son activité de lui-même.
Une autre technique d’évasion consiste à détecter les outils d’analyse en fonctionnement sur le système, notamment ceux édités par la même société de sécurité sud-coréenne. Enfin, toujours en matière d’évasion, les attaquants détournent des plates-formes de services en ligne sud-coréennes pour déterminer l’adresse IP de la victime. « Dans l’ensemble, ces modifications nous montrent que les attaquants ont personnalisé le malware pour un public sud-coréen, tout en faisant des efforts supplémentaires pour ne pas être détectés » conclut Zuzana Hromcova.
Pour plus de détails sur GoBotKR et ses capacités, consultez l’article du blog d’ESET « Malicious campaign targets South Korean users with backdoor-laced torrents», publié sur le site WeLiveSecurity.com.
CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr