L0rdix, un outil de piratage polyvalent découvert sur le dark web

Les chercheurs en sécurité de la société Ensilo ont découvert un nouvel outil de piratage pour Windows nommé L0rdix. Cet outil se distingue par ses multiples fonctionnalités qui combinent à la fois l'exfiltration d’informations et le minage de cryptomonnaies. L0rdix est vendu sur de nombreux forums du dark web et présente une interface graphique relativement soignée proposant de multiples options de configuration, le différenciant à nouveau des autres outils visibles sur ces réseaux.

L'outil a été développé à l'aide du framework .NET en version 32 bits et suit une architecture modulaire. Les développeurs ont intégré dans l'outil des protections visant à le rendre plus difficilement analysable, le code est ainsi offusqué et l'outil évite de s’exécuter dans les environnements virtualisés. Le chercheur indique que de nombreux modules sont cependant encore en développement et laisse donc penser que le projet est susceptible d'évoluer. De plus, l'analyse du code révèle que l'implémentation des techniques de chiffrement et de communication est encore balbutiante. Le chercheur n'a à ce jour pas identifié de vecteur d'attaque initial communément utilisé pour ce type de logiciel malveillant.

Techniques, tactiques et outils :

Dans un premier temps l'outil scanne son environnement afin de déterminer s'il se trouve dans un système virtualisé ou si des outils de surveillance sont installés sur le système. Il est également en mesure de rechercher la présence de logiciels populaires comme Procmon ou Netstat, ainsi que la présence de clés de registre particulières révélant l'utilisation de logiciels de virtualisation. S'il détecte de tels outils, L0rdix n’exécutera aucune instruction supplémentaire.

S'il ne détecte aucun outil ou système de virtualisation, L0rdix récupère des fichiers de configuration depuis un serveur de commande et contrôle (C&C) distant. Pour cela, il collecte sur son système des informations qui permettront de l'identifier de manière unique, notamment les informations sur le matériel de la machine ou sur le profil de l’utilisateur courant. Ces données sont chiffrées avec une implémentation simple d'AES lors des communications. Le serveur répond aux communications en renvoyant un fichier JSON de configuration indiquant ce que L0rdix est autorisé à faire sur la machine.

L0rdix est conçu pour pouvoir maintenir un accès persistant et se propager sur les périphériques branchés en USB. Lorsqu'un de ces derniers est branché, L0rdix cache tous ses dossiers et fichiers et crée une copie malveillante reprenant leur nom et leur icône. Ainsi, lorsqu'un utilisateur cliquera sur l'un des documents répliqués sur le périphérique, il exécutera le logiciel malveillant.

Parmi les fonctionnalités proposées par L0rdix on peut noter les suivantes :

  • L'outil peut faire en sorte de transformer la machine infectée en une machine zombie prête à exécuter des commandes envoyées par le serveur de contrôle. Ainsi en contaminant d'autres machines, L0rdix peut créer un réseau de machines zombies (botnet) pouvant servir au lancement d'attaques de déni de service distribué. 
  • Il peut également servir à voler le contenu des portefeuilles de cryptomonnaies présents sur la machine. Il surveille ainsi le contenu du presse-papier qui, lors des opérations de transfert, peut contenir des informations sur le serveur de dépôt d'une cryptomonnaie. Le logiciel malveillant remplace ainsi l'adresse du serveur par celle du pirate. 
  • L0rdix permet de voler des informations depuis la machine infectée. Il récupère des informations d'authentification pouvant être contenues dans les navigateurs en extrayant les données à l'aide d'un utilitaire SQLite, et envoie également le contenu des cookies. Enfin, il récupère également le contenu des fichiers d'une extension donnée (présente dans la configuration envoyée par le serveur de commande et contrôle) trouvée sur le système. 
  • Enfin, l'outil permet de miner une cryptomonnaie directement sur la machine.
Recommandations
+

Afin d'inspecter la présence de L0rdix, l'analyse du chercheur propose plusieurs indicateurs comme des noms de processus ou des signatures. La mise à jour des systèmes reste encore le meilleur moyen se prémunir contre de telles attaques.