OnionCrypter, un composant clé des logiciels malveillants depuis 2016

Christopher Budd, 17 mars 2021 14:43:43
Christopher Budd, 17 mars 2021 14:43:43

Nous avons protégé près de 400 000 utilisateurs d'Avast dans le monde contre des logiciels malveillants utilisant OnionCrypter.

Les logiciels malveillants d'aujourd'hui ressemblent beaucoup à une voiture. Les voitures comme les logiciels malveillants sont constitués de nombreux composants qui leur permettent de fonctionner. Les voitures ont différentes parties comme les moteurs, les pneus et les volants ; les logiciels malveillants ont des chargeurs, des charges utiles et des modules de commande.

Récemment, les chercheurs d'Avast Threat Labs se sont penchés sur une « pièce » spécifique que les auteurs de logiciels malveillants utilisent pour fabriquer leurs « voitures ». Il s'agit d'un « crypteur », qui est un outil utilisé pour cacher les parties malveillantes du code à l'aide du cryptage, dans le but de paraître inoffensif et plus difficile à lire. Les auteurs de logiciels malveillants utilisent cette technique pour cacher leur code malveillant aux chercheurs, aux antivirus et aux logiciels de sécurité. Du point de vue de l'auteur d'un malware, un crypteur est un outil important pour contrer les protections contre les malwares. Du point de vue du chercheur, cependant, être capable d'identifier un crypteur nous aide à mieux et plus rapidement identifier les nouveaux logiciels malveillants lorsque ceux-ci contiennent ce composant.


Présentation d'OnionCrypter


Nos chercheurs ont étudié un crypteur spécifique que nous avons appelé OnionCrypter. Nous avons choisi ce nom parce que ce crypteur particulier utilise de multiples techniques pour rendre plus difficile la lecture des informations qu'il protège par les chercheurs, les antivirus et les logiciels de sécurité. En d'autres termes, les informations sont cachées dans les couches de l'« oignon » de son chiffrement. OnionCrypter est inhabituel en raison de la façon dont il utilise plusieurs couches pour cacher ses informations. Il est important de noter que le nom reflète les nombreuses couches utilisées par ce crypteur et qu'il n'est en aucun cas lié au navigateur ou au réseau Tor.

Nous avons également constaté que OnionCrypter est largement utilisé depuis 2016 par certaines des familles de logiciels malveillants les plus connues et les plus répandues, comme Ursnif, Lokibot, Zeus, AgentTesla et Smokeloader, entre autres. Au cours des trois dernières années, nous avons protégé près de 400 000 utilisateurs d'Avast dans le monde entier contre les logiciels malveillants qui utilisent OnionCrypter. Le tableau ci-dessous montre les différentes familles de malwares que nous avons trouvées utilisant OnionCrypter.

onioncrypter

En raison de la durée d'existence d'OnionCrypter et de son utilisation répandue, nos chercheurs pensent que les auteurs d'OnionCrypter le proposent à la vente en tant que service. C'est logique : nous avons vu le marché des logiciels malveillants mûrir au point que certaines personnes et entreprises proposent des services spécifiques et spécialisés. Conformément à ce type de marché mature, nous pensons également que les auteurs d'OnionCrypter proposent une personnalisation à leurs clients, ce qui contribue à le rendre encore moins détectable. Dans les publicités sur les forums, ce programme est souvent présenté comme un crypteur totalement indétectable (FUD).

Grâce aux informations que les chercheurs d'Avast ont trouvées sur OnionCrypter, il est plus facile pour nous et pour les autres de détecter non seulement OnionCrypter, mais aussi tout ce qui l'utilise.

Pour revenir à l'analogie avec la voiture, nous avons identifié une partie spécifique du moteur que de nombreuses familles de logiciels malveillants utilisent. Nous sommes désormais en mesure de rechercher cette pièce et de l'examiner de plus près lorsque nous la trouvons dans un nouvel élément - nos recherches nous ont montré que, dans ces cas, il s'agit d'un nouveau type de logiciel malveillant. La capacité de notre équipe à mener des recherches approfondies est bénéfique à la fois pour les clients d'Avast et pour tous les autres, car ces informations contribuent à informer ceux qui conçoivent et améliorent les logiciels de sécurité.

Pour en savoir plus sur OnionCryper et son fonctionnement, consultez l'article de Jakub Kaloč sur Avast Decoded.


Avast est un leader mondial de la cybersécurité et de la protection de la vie privée avec des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre produits antivirus, anti-ransomware et de protection de la vie privée.