Un nouveau malware « Silence Trojan » attaque les institutions financières

En Septembre 2017, les chercheurs de Kaspersky Lab ont découvert une nouvelle attaque ciblant les institutions financières. Les victimes de cette attaque sont principalement les banques russes et des organisations financières en Malaisie et en Arménie. Les attaquants utilisent une technique connue et dont l'efficacité n'est plus à démontrer : s’infiltrer dans le réseau bancaire de manière discrète pendant une longue période et enregistrer des vidéos sur les activités journalières des employés sur leurs PCs afin d’apprendre et d’identifier les mécanismes bancaires utilisés pour voler la plus grande somme d’argent possible à un moment opportun.

Ce malware, nommé « Silence Trojan », se propage via des emails de « hameçonnage » contenant un lien malveillant. Les cybercriminels commencent par compromettre l’infrastructure de la banque, puis ils envoient des emails d’« hameçonnage » depuis des adresses d’employés réels.

Le fichier malveillant joint aux emails de « hameçonnage » est de type « Microsoft Compiled HTML Help » qui est un ensemble de pages html compressées et déployées sur un fichier binaire sous le format .CHM (Compiled HTML). Ces fichiers sont interactifs et utilisent plusieurs technologies, comme du code JavaScript permettant de rediriger une victime vers des URLs spécifiques.

Une fois le fichier CHM ouvert, le fichier imbriqué « start.htm » contenant du code JavaScript est exécuté pour lancer le téléchargement et l’exécution du contenu de plusieurs URLs qui vont lancer le téléchargement et l’exécution d’un « dropper » : un fichier binaire exécutable 32bits pour Windows dont le but principal est de communiquer avec le serveur de contrôle (C2C) via une requête HTTP GET.

Le logiciel malveillant envoie ensuite les identifiants de la machine victime puis télécharge et exécute plusieurs modules permettant d’accomplir des tâches différentes, notamment l’enregistrement des captures d’écran et la récupération des données. Tous les modules chargés sont identifiés et enregistrés comme étant des services Windows. Le logiciel peut également être utilisé pour télécharger d’autres modules et logiciels.