Malware : Dyre se protège contre les bacs à sable

Des chercheurs ont découvert une nouvelle version du logiciel malveillant financier Dyre qui évite la détection par les bacs à sable en comptant leur nombre de cœurs de processeur.

Une nouvelle version du logiciel malveillant Dyre, qui a récemment ré-émergé pour affecter les institutions financières dans le cadre de l’opération Dyre Wolf, emploie désormais des techniques de protection contre les mises en bac à sable ou Sandboxing. De quoi leurrer certains responsables de la sécurité informatique et constituer une menace encore plus insidieuse.

Une nouvelle étude réalisée par Seculert révèle que Dyre est capable de contourner les bacs à sable en vérifier le nombre de cœurs de processeur : si un seul cœur est découvert, Dyre cesse immédiatement son exécution.

« Les bacs à sable, afin d’économiser des ressources processeur, n’utilisent qu’un seul cœur », relève Aviv Raff, CTO de Seculert, tout en soulignant que les systèmes modernes utilisent deux voire quatre cœurs. « C’est une différence majeure entre les environnements virtualisés et les environnements réels ».

Raff et son équipe ont relevé que cette variante de Dyre n’utilise qu’une méthode d’évasion de bacs à sable. Puisque ce n’est généralement pas le cas, Raff a décidé de pousser l’analyser plus avant.

Son équipe a testé les bacs à sable disponibles commercialement, qui ont également échoué. Selon Raff, il est probable que les cybercriminels aient réalisé le même type de recherche sur les sandbox avant de retenir cette méthode spécifique comme unique approche d’évasion.

Cette version de Dyre a également été adaptée pour changer de user agent, une technique jamais observée auparavant pour ce logiciel malveillant, selon Seculert. Celle-ci permet à Dyre d’échapper aux systèmes basés sur la détection de signatures.

Le mois dernier, dans le cadre d’une campagne sophistiquée nommée Dyre Wolf, le logiciel malveillant Dyre a été associé au logiciel de contamination Upatre et à des techniques d’ingénierie sociale, par téléphone, pour voler dérober des millions de dollars aux banques. Les cybercriminels à l’origine de cette campagne ont été capables de contourner les mécanismes d’authentification à facteurs multiples en se faisant passer pour des opérateurs en centre d’appels. Désormais, ils sont donc même capables de contourner les bacs à sable.

« Le succès de Dyre à échapper aux bacs à sable n’est qu’une confirmation supplémentaire des affirmations selon lesquelles le sandboxing seul ne fournit pas une approche complète de la sécurité », souligne Raff. « Pour détecter des logiciels malveillants évasifs, il faut désormais intégrer le Machine Learning et l’analyse du trafic réseau sur la durée ».

Raff précise enfin que les banques et les entreprises de services financiers ne sont plus les seules victimes de Dyre : « ce groupe a cessé de ne cibler que les institutions financières. Il cible tout le monde avec des données qu’il peut monétiser ».

Adapté de l’anglais.

Pour approfondir sur Menaces informatiques

Close