Les constructeurs de logiciels malveillants Lunar ne sont pas uniques : Il existe de nombreuses variétés de "grabber builders" disponibles en ligne.
Parfois, lorsque vous faites des recherches, vous tombez sur quelque chose d'inattendu. C'est ce qui est arrivé à l'équipe d'Avast lorsqu'elle a enquêté sur les ransomwares. Ils ont trouvé quelque chose qui ressemblait à un ransomware ordinaire, mais quelques éléments étranges ont attiré leur attention. La première : La rançon demandée n'était que de 25€.
Après une enquête plus approfondie, l'équipe a découvert que ce malware chiffrait les fichiers et les renommait avec l'extension ".LUNAR". Elle a également trouvé d'autres logiciels malveillants de la même famille, mais au lieu de rançongiciels, il s'agissait de voleurs d'informations et de mineurs de cryptomonnaie.
L'équipe était confuse - cette famille de logiciels malveillants n'était pas dans la veine de ce qu'elle rencontre habituellement. Pourquoi quelqu'un prenait-il le temps de créer et de diffuser quelque chose qui avait une si faible probabilité de profit ? Et pourquoi cette variété ?
Ils ont continué à creuser et ont trouvé un serveur Discord dédié à une famille de malwares "Lunar", dont ils ont rapidement déterminé qu'il s'agissait d'un produit "malware-as-a-service". Les logiciels malveillants en tant que service sont une tendance récente qui permet aux gens de pirater d'autres personnes sans aucune programmation ou compétence technique. Il s'agit en fait d'un piratage prêt à l'emploi pour quiconque est intéressé, les utilisateurs devant seulement déterminer des détails tels qu'une icône personnalisée ou un binaire à utiliser comme support du code malveillant.
Le créateur du logiciel malveillant le vendait sur le serveur Discord, acceptait les suggestions des clients et organisait même des concours. Les membres de la communauté partageaient des plugins entre eux ou se retrouvaient parfois simplement pour discuter. Et alors que l'équipe d'Avast passait plus de temps dans la communauté, observant leur comportement et leur vocabulaire, elle a réalisé quelque chose de surprenant : la plupart des membres étaient des mineurs âgés de 11 à 16 ans.
"Nous présumons que c'est exactement la raison pour laquelle l'auteur de Lunar, connu sur Discord sous le nom de Nex, annonce des prix bas (5-25 EUR) pour l'accès à son constructeur de logiciels malveillants", déclare Jan Holman, chercheur en logiciels malveillants chez Avast. "Cette hypothèse est également étayée par le fait qu'une grande partie des fonctionnalités du malware, et certainement la plupart des plugins soumis par d'autres membres de la communauté, visent à ennuyer les victimes plutôt qu'à causer des dommages réels."
Ils se sont également rendu compte que, bien que le constructeur du malware Lunar comprenait des options telles que le vol de mots de passe et d'informations, l'extraction de crypto-monnaies et les ransomwares, ce n'était pas ce qu'il annonçait principalement. Au lieu de cela, ils se sont concentrés sur des fonctionnalités comme le vol de comptes de jeux, la suppression de dossiers Fortnite ou Minecraft, ou l'ouverture répétée d'un navigateur Web avec Pornhub.
En d'autres termes : Des farces qui pourraient intéresser les adolescents.
Comment fonctionne un logiciel malveillant en tant que service ?
Les créateurs de logiciels malveillants de Lunar ne sont pas uniques : Il existe de nombreuses variétés de "grabber builders" disponibles en ligne. Il s'agit généralement de campagnes de logiciels malveillants de courte durée basées sur un code source provenant de GitHub ou même d'un autre constructeur, relooké avec un nouveau logo et un nouveau nom, et parfois légèrement retouché ou modifié avec de nouvelles fonctionnalités.
Bien qu'ils varient quelque peu dans la fonctionnalité qu'ils offrent, la fonctionnalité qu'ils fournissent et l'obscurcissement utilisé, ils sont tous fondamentalement les mêmes. Ils ont des interfaces graphiques similaires basées sur .NET avec des mises en page, des palettes de couleurs, des noms et des logos légèrement différents. Pourtant, ils offrent la même fonction principale : générer des échantillons de logiciels malveillants personnalisés en cochant quelques cases et en remplissant quelques champs de formulaire.
L'équipe d'Avast a vu de nombreux créateurs similaires à Lunar, tels que Itr0ublveTSC, Mercurial, Snatch, HideGrabber, PirateStealer, AsteroidLLC, Stely, Viny, Rift, etc. Ces constructeurs partagent certains codes et ont un modus operandi similaire. Les autres constructeurs ont également des groupes et des communautés en ligne similaires.
Discord a confirmé qu'il prenait des mesures pour lutter contre ces types de communautés et a banni les serveurs associés aux découvertes d'Avast.
Le malware comme communauté ?
Une fois que les adolescents ont créé le logiciel malveillant, ils doivent trouver comment le déployer, une tâche à laquelle la communauté les aide souvent. Ils peuvent déguiser les logiciels malveillants en jeux piratés ou en hacks de jeux ou les rendre discrets en utilisant des icônes et des noms de fichiers d'exécutables de jeux légitimes. Parfois, ils les regroupent même avec des fichiers binaires bénins, ce qui permet de dissimuler le code malveillant sur l'appareil de la victime.
Ils attirent également les victimes par le biais de vidéos "appâts" sur YouTube, qui encouragent les gens à télécharger le média souhaité. Une fois que l'attaquant a mis en place la vidéo, il la publie sur le serveur Discord et tous les autres membres de la communauté la commentent, offrant ainsi une validation sociale aux victimes potentielles. Ils vont même jusqu'à "avertir" les victimes que leur antivirus risque de le bloquer et donnent des instructions sur la manière de laisser passer le fichier en autorisant des exceptions.
"Nous déconseillons vivement de télécharger des logiciels piratés et des jeux trichés, et surtout d'ignorer les avertissements de l'antivirus et de créer des exceptions pour ces programmes", déclare Jan Holman, chercheur en logiciels malveillants chez Avast. "Si votre programme AV signale qu'un keygen ou un jeu piraté est un malware, il y a de fortes chances qu'il en contienne vraiment un. Ce n'est pas le rôle de l'AV de se soucier de la légalité de votre logiciel."
Mais si le soutien de la communauté semble acquis, les conflits sont également nombreux. L'équipe d'Avast a observé des luttes intestines, de l'instabilité, des risques d'intimidation et des membres qui volent le code des autres pour le vendre eux-mêmes. Ces communautés ont tendance à s'enflammer et à s'éteindre rapidement, lorsque les développeurs se lassent ou que la négativité du groupe devient trop forte.
En ce qui concerne les menaces réelles, l'impact de ce groupe est relativement faible. L'équipe d'Avast n'avait pas prévu d'y consacrer beaucoup de temps, mais elle a choisi de partager ses conclusions spécifiquement parce que les personnes impliquées - auteurs et victimes - sont principalement des mineurs.
Cela ressort très clairement des conversations, qui comprennent un badinage ouvert sur l'âge, des commentaires tels que "Je ne veux pas utiliser le compte Paypal de ma mère" et des conversations sur la prise de contrôle de l'appareil d'un professeur pendant les cours. Discord a partagé avec Avast qu'ils conseillent aux parents d'aider à adapter les paramètres de l'enfant pour l'empêcher de recevoir des messages d'inconnus. D'autres conseils de sécurité pour les parents sont disponibles sur le blog de Discord.
Capture d'écran de Discord liées au constructeur lunaire.
Ces communautés peuvent sembler attrayantes pour les enfants, car le piratage est considéré comme cool et les créateurs de logiciels malveillants offrent une occasion facile et bon marché de "pirater" quelqu'un et de s'en vanter auprès de ses pairs", explique M. Holman. "Ils peuvent également offrir une chance d'apprendre un peu de programmation ; la communauté est plutôt utile dans ce domaine. Cependant, ces actes restent illégaux et méritent d'être signalés."
L'équipe de Threat Labs souligne également que la sécurité opérationnelle de ces groupes était faible, avec des comptes de médias sociaux facilement accessibles ou des informations personnelles directement partagées dans le chat. Enfin, si les actions entreprises par les auteurs pourraient être considérées comme des farces enfantines, elles pourraient également mettre leurs victimes - et les parents de ces dernières, s'ils partagent des appareils - en réel danger, en exposant potentiellement leurs données sensibles à des cybercriminels professionnels.
Après la découverte et l'analyse du serveur par Avast Threat Labs, les chercheurs ont averti Discord qui a ensuite mis le serveur hors ligne.