Masslogger : le cheval de Troie reste très actif et de nouvelles variantes sont là, on vous explique tout

Masslogger est un malware aux multiples variantes utilisé pour subtiliser des informations d’identification via des navigateurs Internet et des clients de messagerie populaires tels que Microsoft Outlook, Google Chrome, Discord, Thunderbird et bien d’autres. Depuis le début de l’année 2021, des experts en sécurité ont repéré des nouvelles variantes du cheval de Troie qui ciblait les utilisateurs de Windows à travers des campagnes de phishing.

Identifiée pour la première fois au mois d’avril 2020, la version améliorée du cheval de Troie Masslogger continue de faire des ravages. Depuis cette date, le logiciel espion refait régulièrement surface à travers de nouvelles variantes toujours plus sophistiquées. Les développeurs de logiciels malveillants modifient en permanence le code de leurs malwares pour pouvoir échapper aux radars des systèmes de sécurité et monétiser leurs mises à jour en les vendant sur le Dark Web. La pandémie mondiale constitue de surcroît une aubaine pour cette nouvelle forme de malwares qui s’appuie sur des campagnes de phishing ciblant les utilisateurs de Windows. Explications…

Qu’est-ce que Masslogger ?

Masslogger est un logiciel espion qui a été conçu pour récupérer et exfiltrer les informations d’identification d’utilisateurs de Windows à partir de différentes sources telles que les navigateurs web (Chrome, Firefox…), des clients de messagerie, ou encore des services VPN. Contrairement aux précédentes versions de Masslogger ayant été documentées, la nouvelle variante utilisée dans les récentes campagnes de phishing exploite le format de fichier Microsoft Compiled HTML Help (format HTML compilé d’aide) pour amorcer la chaîne d’infection. Développé par Microsoft, le format HTML compilé (ou « .chm ») est un format propriétaire utilisé pour les fichiers d’aide en ligne de Windows.

Ce dernier a la particularité de pouvoir contenir des éléments actifs tels que des images, des hyperliens, et surtout des scripts JavaScript chargés dans le cas présent d’exécuter le malware. Les nouvelles variantes du malware qui circulent depuis une année peuvent être utilisées par n’importe quels acteurs malveillants pour mener des campagnes de phishing ciblées. Difficiles à détecter, ces attaques dîtes sans fichier permettent aux hackers de subtiliser et revendre les informations de connexion sur le Dark Web ou de les utiliser pour mener d’autres types d’attaques avec par exemple des ransomwares.

Méthode d’attaque

Des experts en sécurité ont découvert des attaques avec cette nouvelle version de Masslogger dans plus d’une dizaine de pays européens. La chaîne d’infection commence par un email contenant une pièce jointe « RAR » dont l’extension de nom de fichier a été habilement modifiée. Il s’agit en effet d’une extension de nom de fichier multivolume RAR (« .rar », « .r01 », « .r02 », ou encore « .chm »…) permettant de contourner les systèmes de sécurité qui bloquent généralement les pièces jointes en fonction de leur extension de fichier.

Lorsque l’utilisateur ouvre la pièce jointe, un fichier HTML affiche le message « Service client » dans lequel se trouve un code JavaScript masqué qui crée automatiquement en tâche de fond une page HTML. Celle-ci intègre un téléchargeur PowerShell qui se connecte à un serveur légitime pour récupérer et exécuter la charge utile Playload Masslogger. À partir de là, le malware est en mesure d’exfiltrer les données récoltées via FTP, SMTP ou HTTP.

Il peut également intégrer des fonctionnalités pour voler les informations d’identification de navigateurs Web, de services VPN ou encore de clients de messagerie : Firefox, Chrome, Edge, Opera, Brave, QQ, NordVPN, Discord, Outlook, FoxMail ou encore Thunderbird. En fonction des variantes, le malware pourrait aussi se transformer en keylogger afin d’enregistrer toutes les frappes au clavier. Pour l’heure, il est possible que ces nouvelles variantes proviennent d’un seul et même acteur qui améliore en permanence le code de son malware pour le monétiser.

Rester en alerte

Les développeurs de logiciels malveillants ne sont jamais à court d'idées pour déjouer la vigilance des utilisateurs et contourner les systèmes de sécurité. Même si Masslogger est en apparence moins dangereux que d'autres malwares, il ne faut pas sous estimer les dégâts qu'il peut infliger. Le vol d’informations d’identification constitue un véritable eldorado pour les hackers de tout poil. Outre la possibilité de les revendre sur le marché noir, ils peuvent les utiliser pour infiltrer des réseaux, éxécuter une charge malveillante et prendre le contrôle de systèmes informatiques à distance.

Étant donné que le malware Masslogger s’exécute en mémoire, il est recommandé de programmer des analyses de la mémoire en continu. Les experts conseillent également de configurer le système de journalisation des événements PowerShell, dont le chargement de modules et des blocs de script pour pouvoir afficher le code malveillant exécuté en clair. Pour se prémunir de ce type d’attaques, il est enfin très important d’utiliser une solution de sécurité éprouvée telle que Bitdefender Total Security capable de détecter de manière proactive les menaces connues et inconnues.