Introduction

En mai 2019, les chercheurs d’ESET ont observé un pic dans leurs données télémétriques au sujet de logiciels malveillants ciblant la France. Après une analyse plus poussée, nous avons identifié un logiciel malveillant distribuant différents types de courrier indésirable. L’un d’entre eux mène à un sondage qui redirige les victimes potentielles vers une fausse offre promotionnelle pour une smartphone (ou téléphone intelligent), tandis qu’une autre constitue une campagne de sextorsion. Les spammeurs ciblent les utilisateurs du fournisseur d’accès Internet français Orange S.A. Nous avons avisé l’entreprise avant de mettre cette publication en ligne.

Nous croyons que ce spambot est en plein développement, car il a considérablement changé depuis la première fois que nous l'avons observé. Cette menace a été mentionnée sur twitter par AnyRun. Cependant, aucune analyse détaillée de cette campagne n’a été publiée à notre connaissance. Nous avons nommé ce nouveau logiciel malveillant Varenyky et, le 22 juillet 2019, les chercheurs d’ESET ont observé le lancement de sa première campagne d’arnaque de sextorsion.

Ce spambot est digne de mention, parce qu’il peut voler des mots de passe, utiliser FFmpeg pour espionner l’écran de ses victimes lorsqu’elles regardent du contenu pornographique en ligne. De plus, il communique avec le serveur C&C via Tor, alors que le courrier indésirable est envoyé comme étant du trafic Internet régulier. Le présent article décrit les fonctionnalités de ce logiciel malveillant.

Distribution et cibles

Distribution

Varenyky a été vu pour la première fois au début de mai 2019. Nous ne pouvons malheureusement pas affirmer pour l’instant comment il a été distribué, mais la distribution et le contexte des plus récentes tentatives d'hameçonnage par courriel suggèrent que l'opérateur utilise cette technique depuis le début.

Un mois plus tard, soit en juin 2019, nous avons observé le premier document malveillant joint à un message électronique qui déclenche l'infection de l'ordinateur de la victime (Figure 1).

Figure 1 – Capture d’écran du courrier électronique distribuant le téléchargeur de Varenyky

Le e-mail indique qu’une facture de 491,27 € est disponible en pièce jointe. Le nom du fichier Microsoft Word comprend le mot « facture ». En outre, lorsque la victime ouvre le fichier, il indique que ce document est protégé par Microsoft Word et « nécessite une verification humaine ».

Figure 2 – Document malveillant

Le contenu du document (Figure 2) explique comment effectuer ladite vérification humaine qui, dans les faits, correspond à la façon d’activer les macros. Pour des raisons de sécurité, les macros ne sont pas activées par défaut par Word; une action de l’utilisateur est requise pour les exécuter.

Dans l'ensemble, le contenu du texte du courriel, le nom de fichier du document et le contenu « protégé » du document laisse entendre aux destinataires qu'il s'agit d'une facture réelle et qu'ils doivent l'ouvrir. La qualité du français est très bonne; dans l'ensemble, le document est convaincant.

Cible

Varenyky cible les utilisateurs français. La macro (Figure 3) contenue dans le document Word a deux utilités. La première est de filtrer les victimes non-françaises en fonction de la localisation de leur ordinateur et la seconde est de télécharger et d'exécuter le logiciel malveillant.

Figure 3 – La macro Word

La macro utilise la fonction Application.LanguageSettings.LanguageID() pour obtenir l’identifiant de la langue de l’ordinateur de la victime (language ID). Cet identifiant contient la langue et le pays indiqué par l’utilisateur. Le script vérifie si la valeur de retour est 1036 en décimal (ou 0x40C en hexadécimal) ce qui, selon la documentation de Microsoft, correspond à la langue française et la France (Figure 4).

Figure 4 - Table des identifiants linguistiques

Ceci constitue une astuce ingénieuse pour tromper les analyseurs automatiques d'échantillons et éviter d'attirer l'attention, grâce au nombre limité de configurations informatiques sur lesquelles ce logiciel malveillant est installé.

Il est à noter qu'en utilisant cet identificateur de lieu spécifique, il exclut les pays francophones autres que la France, comme la Belgique et le Canada, qui disposent de leurs propres identificateurs.

On observe également un contrôle de langue supplémentaire dans l'exécutable téléchargé concernant la disposition du clavier. Cette vérification se fait au tout début de l'exécutable qui est téléchargé et exécuté par la macro (Figure 5).

Figure 5 – Résultat de la vérification de la configuration du clavier d’Hex-Rays

Une fois de plus, la vérification est faite afin de filtrer les gens utilisant un clavier configuré en anglais ou russe. Dans ce cas, le logiciel affiche la boite de message affichée à la Figure 6 et se ferme.

Figure 6 – Boîte de message pour les utilisateurs utilisant un clavier configuré en anglais ou russe

Décrivons maintenant les fonctionnalités du logiciel malveillant alors qu’il s’exécute sur un appareil ciblé.

Analyse technique et fonctionnalités

Des variantes plus anciennes de Varenyky utilisaient le compresseur de données UPX, mais des échantillons plus récents utilisaient un compresseur de données personnalisé. Le décompresseur personnalisé va d'abord XOR sa charge utile avec une chaîne alphanumérique de 32 caractères, pour ensuite la décompresser en utilisant l’algorithme LZNT1, qui est lui-même une variante de LZ77. Le logiciel malveillant décompressé n’est jamais écrit sur le disque.

Si le logiciel malveillant n’a pas été installé auparavant, il crée d’abord une librairie avec un nom spécifique dans %APPDATA%. Il s'agit d'un hachage (ou hash) en majuscules composé du GUID de la machine, du nom d'utilisateur, du nom de l'ordinateur et du nom du CPU (voir la Figure 7). Il crée un mutex nommé à partir ce même hash, pour éviter que deux instances ne s'exécutent en même temps..

Figure 7 – Fonctions collectant les informations utilisées pour calculer le hachage

La charge utile malveillante extrait alors de multiples librairies et l’exécutable Tor, qui sont à l'intérieur de celui-ci, vers le répertoire qu’elle vient de créer. Les librairies incluent zlib et les dépendances pour les programmes compilés avec MinGW. L’exécutable du logiciel malveillant est finalement copié dans ce répertoire, puis l’original est effacé du répertoire temporaire où il a été téléchargé via la macro.

Le logiciel malveillant augmente sa persistance en ajoutant une entrée vers HKLM\Software\Microsoft\Windows\CurrentVersion\Run dans le répertoire Windows. Le mutex est relâché et le logiciel malveillant se redémarre à partir de son répertoire dans %AppData%.

À sa deuxième exécution, le logiciel malveillant détecte qu’il a déjà été installé. Il exécute alors Tor et récupère son adresse IP externe en utilisant le service d’AWS checkip.amazonaws.com.

Il lance alors deux tâches : l'une est chargée de l'envoi des spams et l'autre, de l'exécution des commandes provenant de son serveur Command & Control. C’est ici que les différentes versions du logiciel malveillant diffèrent. Certaines variantes incluent plus de tâches qui envoient du courrier indésirable au même moment, alors que d’autres disposent de fonctionnalités différentes quant aux commandes que le serveur C&C peut le faire exécuter. L’ensemble des communications avec le serveur C&C se fait via Tor au jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd.onion en utilisant le protocole HTTP.

Les premières versions du logiciel malveillant pouvaient recevoir une commande pour télécharger un fichier et l'exécuter. Le logiciel malveillant était capable de gérer les fichiers exécutables, les fichiers batch et les scripts PowerShell. La prise en charge de la dernière a été supprimée par la suite. Le logiciel malveillant peut également être mis à jour à l'aide d'un exécutable qui doit être téléchargé à partir d'une URL spécifique. Il y a une autre commande qui désinstalle le logiciel malveillant de l'ordinateur, bien qu'elle ne supprime pas le changement qu'elle a fait au registre.

Une nouvelle commande a été ajoutée par la suite, permettant au logiciel malveillant de déployer les outils WebBrowserPassView et Mail PassView de NirSoft. Ce sont des outils de récupération de mot de passe pour les mots de passe des navigateurs Web et des clients de courrier électronique. Ces outils sont régulièrement abusés par les logiciels malveillants, et sont donc détectés par ESET comme étant des applications potentiellement dangereuses. Tous deux sont des fichiers exécutables compressés par LZNT1 et intégrés à l’intérieur du logiciel malveillant. Ils sont extraits, injectés dans un autre exécutable et exécutés une fois afin de voler les mots de passe de la victime. Ces derniers sont alors exfiltrés vers le serveur C&C.

La dernière commande ajoutée crée un bureau caché sur l'ordinateur de la victime. Le logiciel malveillant peut être dirigé pour démarrer diverses applications qui ont une interface graphique, comme les navigateurs Web et la boîte de dialogue Exécuter Windows sur ce bureau invisible. Il a la capacité d'accomplir diverses tâches, telles que naviguer dans les menus, lire du texte, prendre des captures d'écran, cliquer sur l'écran, et aussi minimiser, restaurer et maximiser les fenêtres.

Les commandes C&C sont récapitulées dans le Tableau 1.

Tableau 1. Liste des commandes que le serveur C&C peut envoyer
#colspan#
Command name Description
DL_EXEC Télécharge un fichier (.exe ou.bat) que le logiciel malveillant exécutera
UPDATE Télécharge un exécutable pour remplacer l'exécutable du logiciel malveillant
UNINSTALL Supprime le logiciel malveillant du disque de l'ordinateur
NIRSOFT Extrait les WebBrowserPassView et Mail PassView de NirSoft, les exécute une fois et envoie les résultats au serveur C&C.
HIDDEN_DESK Crée un bureau caché pour accomplir diverses tâches

Une fonction qui a fait son apparition et qui a été modifiée dans les versions ultérieures pour finalement être supprimée était une fonction qui permettait au logiciel malveillant de rechercher le titre des fenêtres ouvertes sur l'ordinateur. Si le logiciel malveillant trouve un terme français associé à la pornographie ou le mot « bitcoin » dans le titre d'une fenêtre, il envoie le titre de la fenêtre à son serveur C&C.

Figure 8 – Liste des mots que le logiciel malveillant détecte

Cette fonctionnalité a été modifiée par la suite pour qu’à chaque fois qu’il détecte le terme « sexe », le logiciel malveillant commence à enregistrer l’écran d’ordinateur en utilisant un exécutable FFmpeg précédemment installé via le réseau Tor. La vidéo est téléchargée dans le serveur C&C après l’enregistrement.

Ces vidéos pourraient être utilisés pour exercer du chantage convaincant. Cette pratique est appelée sextorsion (contraction des mots « sexe » et « extorsion »). On ignore si ces vidéos ont été enregistrées pour satisfaire la curiosité des auteurs du spambot ou si ces derniers avaient l’intention de les monétiser en pratiquant la sextorsion. Différentes versions de ce logiciel malveillant utilisaient différentes chaines pour s’identifier au serveur C&C. L’une d’entre elles étaient « Bataysk », qui est le nom d’une ville russe connue pour avoir un « monument qui montre la main d'un homme saisissant une poitrine de femme nubile ». Un autre échantillon est identifié comme étant « PH », probablement en référence aux initiales d’un site pornographique populaire. Une autre version est identifiée par la chaîne « Gamiani_MON »; Gamiani étant le titre d’un roman érotique français – MON signifie probablement « monitoring » dans le cas présent.

Page d’accueil du serveur C&C

Au fil du temps, de nombreux changements ont été apportés à ce qui semble être la fenêtre de connexion du serveur C&C. Au départ (Figure 9), il affiche la formule latine VADE RETRO SATANA et une statue de Marianne (figure symbolique importante de la République française) avec les yeux rouges. Dans le coin supérieur droit, un sigle en allemand s’affiche, qui se lit « Arrêt - Frontière de l'État – Entrée interdite ». Le mot « войти » observé sous le clavier signifie « connexion », en russe et en ukrainien.

Figure 9 – Première version de la fenêtre de connexion

Cette fenêtre a par la suite été mise à jour pour jouer la chanson « F*ck them all », de Mylène Farmer, lorsque la page s’affiche (Figure 10).

Figure 10 - fenêtre de connexion du serveur C&C avec l’ajout de la lecture du lecteur de la chanson

Avec la dernière mise à jour ajoutant du contenu, qu’on peut voir à la Figure 11, la fenêtre de connexion du serveur C&C dansant avec un drapeau serbe. On y fait un clin d’œil à OCaml, un langage de programmation créé par des Français. Ricard est une référence au film The Pink Panther, sorti en 1963. Dans le coin inférieur droit, il est écrit, en français : « l'abus d'alcool est dangereux pour la santé. À consommer avec modération », c’est-à-dire l'avertissement officiel sur les publicités pour l'alcool en France. L’image au-dessus de cet avertissement présente une pale lager Jelen pivo provenant d’une brasserie serbe. La chanson diffusée est désormais « Opa! », du groupe russe Diskoteka Avariya.

Figure 11 – Capture d’écran de la fenêtre de fenêtre de connexion du serveur C&C

Au moment de la mise en ligne de cet article, la fenêtre de connexion a été épurée et ne comprend plus que le clavier.

« Vous avez un message »

Ce spambot envoie des emails en utilisant le protocole SMTP via le port 25 et cible uniquement les clients du fournisseur d’accès Internet français Orange. Chaque bot reçoit des instructions du serveur C&C pour la rédaction d’un courriel, incluant le corps du message, la liste d’adresses auxquelles envoyer le message indésirable et le serveur à utiliser pour l’envoi. Les serveurs de messagerie utilisés pour diffuser ce message ne semblent pas appartenir aux acteurs malveillants. Il semble plutôt s’agir de serveurs qui n’ont pas été sécurisés adéquatement et ne requièrent pas d’authentification.

Figure 12 – Deux différents messages de spam

Les messages indésirables envoyés par ce spambot sont aussi simples que Cliquez ici si ce message ne s’affiche pas correctement » ou « Veuillez suivre le lien suivant : <URL> » (Figure 12).  On voit également des emails avec des pièces jointes. Ces liens mènent à des arnaques, plus précisément des sondages (Figure 13) où la victime « gagne » à tout coup une promotion importante pour un smartphone récent.

Figure 13 – Sondage où la victime remporte à chaque fois un téléphone intelligent

Le lien mène la victime vers un site où celle-ci semble avoir une chance de « remporter » un prix tel qu’un iPhone X, un Galaxy S9 ou un S10+ pour 2 € ou moins (Figure 14). Pour gagner, il leur « suffit » d’inscrire leurs informations personnelles : nom, adresse, ville, adresse email et numéro de téléphone. L’adresse courriel qui est entrée pourrait ne pas fonctionner si ce n’est pas ce à quoi la page s’attend, mais en cas de succès, la page invite la victime à entrer les détails de sa carte de crédit, incluant le chiffre de vérification de la carte.

Les utilisateurs devraient éviter de fournir les renseignements de leur carte de crédit à des sites Web qu'ils ne connaissent pas pour bénéficier d’offres qui semblent trop belles pour être vraies. Il s'agit souvent d'un stratagème visant à obtenir les informations de carte de crédit d'un utilisateur non averti afin de lui facturer des frais mensuels, ce que l'utilisateur peut parfois apprendre en examinant les petits caractères. Les concours légitimes ne font pas payer de frais aux gagnants afin de leur permettre de réclamer leur prix.

Figure 14 – Pages d’arnaques aux smartphones

Bien que Varenyky ait l’habileté d’enregistrer une vidéo de l’écran alors que l’utilisateur regarde probablement de la pornographie sur son ordinateur, nous n’avons recueilli aucune évidence à ce jour indiquant que les opérateurs de ce logiciel malveillant exploite ce type de vidéos. À l’inverse, incidemment, nous avons vu au 22 juillet dernier Varenyky amorcer une campagne d’arnaque à la sextorsion. Il convient de noter que cette campagne correspond à une arnaque de sextorsion assez courante, qui a été largement documentée et ne semble pas reliée à la capacité partielle de Varenyky d'exécuter les fonctions des logiciels malveillants fictifs décrits dans ces messages frauduleux. La Figure 15 présente le message d’arnaque que nous avons vu Varenyky envoyer. Ces messages sont constitués de trois images JPG utilisés afin de contourner les filtres de texte de contenus indésirables.

Figure 15 – Capture d’écran de l’email de sextorsion

Ce message prétend que l'auteur, qui est un pirate informatique, a accédé à l'ordinateur de la victime par l'intermédiaire d'un virus qui a été attrapé lors de la visite d'un site Web pour adultes (la traduction de ceci est très similaire à celle de la version anglaise documentée ici). On y indique que la victime aurait des goûts particuliers en matière de pornographie et que le pirate a pris le contrôle à distance de l'ordinateur de la victime. L'e-mail dit aussi qu'une vidéo a été faite où sur une moitié de l'écran est un enregistrement du navigateur de la victime et l'autre moitié est un enregistrement de la webcam alors que l’utilisateur était « en train de [s’]... amuser. »

De plus, l’email indique qu’une copie de la liste des contacts, des photos, mots de passe, informations bancaires, et plusieurs autres informations de la victime, a été faite. L’auteur affirme que la victime n’est pas la seule et promet de la laisser tranquille dès qu’elle aura versé 750 € en bitcoins à l’adresse BTC 1PBpawAYJG7FfAxmTagU34CfEFoNobb1Re.

Le courriel indique que la victime dispose de 72 heures pour payer, avant que la vidéo ne soit envoyée à sa famille, à ses collègues, affichée sur Facebook, Twitter et ailleurs. On y affirme qu'il est inutile de changer les mots de passe, de supprimer le virus, d'envoyer l'ordinateur pour réparation ou de nettoyer l'ordinateur, parce que les données de la victime se trouvent sur un serveur distant (« Ne me prenez pas pour un con »). L’auteur invite la victime à répondre « Oui! » si elle veut une preuve; la vidéo serait alors envoyé à 6 de ses contacts les plus importants.

Le message se termine par « C’est une offre non négociable, cela dit, ne me faites pas perdre mon temps et le vôtre, pensez aux conséquences de vos actes. »

Toutes les adresses de courrier électronique qui ont été visées appartiennent aux domaines wanadoo.fr et orange.fr. Ces deux domaines sont opérés par le FAI Orange S.A. Un seul de ces bots pour envoyer jusqu’à 1500 emails l’heure.

Au moment de la publication de ce billet de blog, l’adresse bitcoin utilisée pour cette arnaque avait reçu quatre paiements. L’adresse bitcoin en question a déjà été rapportée sur bitcoinabuse.com pour sextorsion (Figure 16).

Figure 16 – Capture d’écran des signalements de l’adresse bitcoin sur BitcoinAbuse

Conclusion

Ce spambot n’est pas très développé. Cependant, le contexte et l’histoire l’entourant le rend intéressant à observer. Nous supposons que, puisqu’il cible la France, les opérateurs ont une certaine compréhension orale ou écrite (voire les deux) de la langue française. Cependant, le fichier Word montre un manque d'attention dans le travail des opérateurs. Dans la macro, l’opérateur a oublié de modifier la valeur de la variable test_debug, ce qui implique que le logiciel malveillant sera installé peu importe la valeur de l’identifiant linguistique (que le système soit configuré en français ou pas).

Il existe de nombreuses fonctions rendant possible l’extorsion ou le chantage des victimes qui regardent du contenu pornographique. Cependant, bien qu’il ait envoyé des courriels d’arnaque de sextorsion non lié, l'opérateur ne semble pas avoir utilisé celles-ci à notre connaissance. De nombreuses fonctions ont été ajoutées puis rapidement supprimées dans de nombreuses versions différentes en peu de temps (deux mois). Cela montre que les opérateurs travaillent activement sur leur botnet et sont enclins à expérimenter de nouvelles fonctionnalités qui pourraient apporter une meilleure monétisation de leur travail.

Nous recommandons aux gens d'être prudents lorsqu'ils ouvrent des pièces jointes provenant de sources inconnues. Maintenir à jour son système ainsi que les logiciels de sécurité utilisés est également de mise.

Remerciements

Nous remercions Alexandre-Xavier Labonté-Lamoureux pour l’analyse technique.

Merci également à nos confrères de proofpoint.com de nous avoir permis d’utiliser une capture d’écran du courriel d’hameçonnage.

Indicateurs de compromission (IoCs)

Hashes (SHA-1) ESET detection names
0970BDE765CB8F183CF68226460CDD930A596088 Win32/Varenyky.A
09EFD54E3014A7E67F0FCAA543F826AC06BBE155 Win32/Varenyky.A
1C27359023B7195AC739641BBC53789A0BA4A244 Win32/Varenyky.A
1D52D26FC2E7E24FA68F36FA04B36D9516DF036F Win32/Varenyky.A
21128D4E7124FD8F1D1A62FCC01F5D5F6C653811 Win32/Varenyky.A
25FF8154F1CEB0C8E13A3F0F72D855B40819D26B Win32/Varenyky.A
36D9AEF26D9B7E40F1140BB62FF6C76110791FAD Win32/Varenyky.A
6A9213A89708D2D304371A00678755F2C6AFE42B Win32/Varenyky.A
722FE03B7ECA8C11C73CF7206EF0E9A11E857182 Win32/Varenyky.A
7F04B6418E31967C12D30150D1CAE7F48980ED08 Win32/Varenyky.A
93D51AC86C5ED207DD6E77B2E767CDEB23106925 Win32/Varenyky.A
9987B0072EF9850CAB869981B05B85284FDDEE92 Win32/Varenyky.A
A9B04941548917BD67CAA533F5078B75D65DD1EE Win32/Varenyky.A
ABF3AC24BE92ABE3425379418CF53AA65F370279 VBA/TrojanDownloader.Agent.OAW
AC1EB847A456B851B900F6899A9FD13FD6FBEC7D Win32/Varenyky.A
B855C03A47901C52C901FFF606F90BC1C262EB87 Win32/Varenyky.A
C32552EFEDAC932AD53DB4569569780782B04704 Win32/Varenyky.A

PDB paths
C:\NoCy\Release\Varenyky.pdb
C:\Users\lenovo\Desktop\NoCy\Release\Varenyky.pdb
C:\UnTroueCunTroueKhouya\Release\UnTroueCunTroueKhouya.pdb

Network
artisticday[.]icu
astonishingwill[.]icu
directfood[.]icu
gradualrain[.]icu
proapp[.]icu
provincialwake[.]icu
shrek[.]icu
thinstop[.]icu
jg4rli4xoagvvmw47fr2bnnfu7t2epj6owrgyoee7daoh4gxvbt3bhyd[.]onion