MnuBot, un nouveau cheval de troie utilisant SQL Server pour communiquer avec le serveur de commande et contrôle

Un nouveau cheval de Troie baptisé MnuBot a été identifié. Il s'appuie sur le serveur Microsoft SQL pour communiquer et contrôler des machines zombies. Lors de son premier démarrage, le cheval de Troie télécharge un fichier de configuration lui permettant de se connecter à un serveur Microsoft SQL. Celui-ci lui indique les requêtes à exécuter, les fichiers avec lesquels MnuBot peut interagir et les sites web de banques cibles.

Vecteur d'infection et de propagation :

L'attaque menée par ce malware a deux étapes. Le cheval de Troie a deux composants, chacun responsable d'une étape :

  1. Le malware cherche un fichier "Desk.txt" dans le dossier "%AppData%Roaming". Si le fichier n'existe pas, MnuBot le crée, crée un nouveau bureau et bascule l'espace de travail de la victime vers ce bureau.
  2. MnuBot vérifie constamment les fenêtres ouvertes à la recherche de noms de banques. Il envoie ensuite une requête vers le serveur de commande et de contrôle afin d'initier la phase de l'attaque correspondant au nom de banque identifié.

Vecteur d'attaque :

MnuBot télécharge une charge utile malicieuse et la place dans "C:\Users\Public\Neon.exe". Cet exécutable permet à l'attaquant de :

  • prendre des captures d'écrans du bureau et du navigateur,
  • enregistrer les touches frappées du clavier,
  • simuler des clics et des frappes de touches,
  • redémarrer la machine de la victime,
  • afficher un formulaire malicieux au-dessus du formulaire légitime du site de la banque. Ceci permet à l'attaquant d'intercepter les données entrées par le client dans celui-ci.

MnuBot implémente un formulaire superposé plein écran pour tromper les utilisateurs et les inciter à fournir des données sensibles. En arrière-plan, le cybercriminel prend le contrôle du système de l'utilisateur et tente d'effectuer une transaction illégale via la session bancaire ouverte.

Recommandations
+

MnuBot a été conçu pour ne pas être détecté par les solutions antivirales qui se basent sur la vérification du trafic entre le malware et son serveur de commande et contrôle.

Pour se protéger contre ce type d&#039attaques, il est primordial d&#039adopter une bonne hygiène de sécurité : il est conseillé de ne pas cliquer sur des liens suspects ou encore télécharger des logiciels de sources non vérifiées.