Analyse du malware Tuscas

Magazine
Marque
MISC
Numéro
75
Mois de parution
septembre 2014
Domaines


Résumé

Cet article décrit le malware Tuscas, du dropper utilisé à la méthode d'injection, en passant par les « hooks ». Ses « hooks » ne sont pas sans rappeler ceux des malwares bancaires. Cette nouvelle menace fait partie de la catégorie des RAT/Stealers (prise de contrôle à distance et vol de données) datant de février 2014. Nous verrons ensuite les principales fonctionnalités de ce malware.


1. Introduction

Le but du malware Tuscas est de permettre aux attaquants de prendre la main sur les machines infectées et de voler des données. Le vol de données est réalisé via des « hooks » mis en place au niveau de l'API utilisée par les trois principaux navigateurs du marché, soit : Internet Explorer, Firefox et Chrome. La version la plus ancienne identifiée du malware Tuscas date du 26 février 2014.

Ce malware est généralement distribué lors de campagnes de spams contenant des pièces jointes du type : factures, reçus, documents importants, suivi de livraison UPS… Généralement, Tuscas n'est pas directement en pièce jointe, mais téléchargé sur Internet et exécuté par le « downloader » Upatre ou une de ses variantes. Dans notre cas, il télécharge le malware Tuscas chiffré, le déchiffre et l'exécute.

Voici le md5 de l’échantillon utilisé lors de la rédaction de cet article : 01c1e3ab46762ef23eb2ac898ea84c2c.

2. Le dropper

Le...

Cet article est réservé aux abonnés. Il vous reste 92% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.