Baldr vs The World : un rapport des SophosLabs

Cybersécurité

Les nouveaux acteurs malveillants aiment s’imposer rapidement et faire parler d’eux. Mais s’agit-il d’étoiles filantes ou bien de véritables menaces sur le long terme ?

Les vidéos vantant des utilitaires pour tricher à des jeux comme Apex Legends et Counter Strike:Go ont commencé à apparaître sur YouTube en février dernier. Le malspam est arrivé plus tard, en utilisant des fichiers archive .ace modifiés pour exploiter une vulnérabilité connue de longue date dans un composant rarement utilisé au sein de l’utilitaire de compression WinRAR. Encore plus tard, différentes vagues de malspams ont commencé à faire leur apparition, avec des documents RTF en pièces jointes qui utilisaient un exploit visant l’éditeur Microsoft Office Equation à l’ouverture de celui-ci.

baldr

Un post YouTube classique avec des commentaires faisant référence à un installer Baldr

La même charge virale était à l’origine de toutes ces différentes sources : un outil de type crimeware que son créateur a appelé Baldr. Créé en janvier 2019 sur des forums du Dark Web, Baldr est un petit malware opportuniste qui, depuis le début de l’année, a été commercialisé de manière agressive en utilisant de fréquentes remises ainsi que des offres spéciales. L’achat d’une licence d’utilisation de Baldr a donné aux cybercriminels la permission d’obtenir et d’utiliser à vie chaque nouvelle version. Et ils l’ont effectivement achetée.

baldr

La fluctuation des tarifs de Baldr

À la mi-avril, le principal revendeur de Baldr s’était vanté d’avoir plus de 200 clients qui utilisaient activement dans leurs campagnes ce malware sorti de nulle part. Ce dernier a sans aucun doute fait du bon travail, à savoir récupérer et voler des identifiants, des cookies ou des caches de données, avec une certaine valeur à la revente, et ce en quelques secondes seulement.

baldr

Répartition des ordinateurs infectés par Baldr par pays concernés par cette infection

Certains pays ont été plus ciblés que d’autres. L’Asie, et en particulier l’Indonésie, avec un peu plus de 21% de la population touchée, a été le pays le plus fortement infecté, suivi par le Brésil (14,14%), la Russie (13,68%), les États-Unis (10,52%), l’Inde (8,77%) et l’Allemagne (5,43%).

Baldr est un malware autonome avec une mission limitée et ciblée. Il ne reste pas actif après avoir parcouru la machine infectée à la recherche de données sauvegardées à exfiltrer, ce qu’il fait rapidement d’ailleurs avant de s’éclipser. Il n’utilise pas de mutex pour vérifier si une autre copie est en cours d’exécution. Il ne contient aucun moyen natif d’établir une persistance au niveau de la machine infectée, sauf en se copiant dans le dossier de démarrage du menu Démarrer. Il est donc exécuté à chaque redémarrage de l’ordinateur. Il ne détecte ni le trafic ni le vol de mots de passe dans le navigateur, comme Trickbot.

Il ne propose pas beaucoup de fonctionnalités, mais agit rapidement, et l’univers underground cybercriminel se l’est naturellement arraché.

Que fait exactement Baldr ?

Lors de son exécution, le malware compile un profil détaillé concernant la machine infectée et ses caractéristiques. Il interroge le chemin \Uninstall du registre Windows pour déterminer la liste complète des logiciels installés sur l’ordinateur infecté. Ensuite le vol à proprement parlé peut enfin commencer.

Baldr sait comment voler les mots de passe sauvegardés au niveau de 21 navigateurs web différents, pas seulement Chrome, Firefox et Edge, mais aussi Opera, Brave, Waterfox, le navigateur Yandex et Pale Moon, entre autres. A titre d’exemple, il peut effacer les données de cartes de paiement enregistrées, l’historique de navigation, les cookies et la liste des termes de saisie automatique que vous avez déjà entrés dans certains formulaires.

baldr

Baldr utilise le “chiffrement”

Il sait où chercher les mots de passe enregistrés au niveau des clients de messagerie, de la messagerie instantanée Jabber/XMPP et du client FTP, les mots de passe enregistrés au niveau des magasins de logiciels de jeux comme Steam, Epic ou Sony et ceux concernant les services adjacents aux jeux comme Twitch TV ou Discord. Il sait également où les clients de ProtonVPN et de NordVPN, deux des services VPN privés les plus populaires, stockent les identifiants et les fichiers de configuration, et il les emporte avec lui également. Bien sûr, il sait comment voler votre réserve de bitcoins parmi 14 applications de portefeuille différentes. Il aurait tout de même eu tort de ne pas en profiter.

baldr

Baldr initie une session command-and-control

Une fois toutes ces informations rassemblées, Baldr effectue une capture d’écran (juste pour faire bonne mesure), compresse toutes les données dans un seul fichier, qu’il chiffre, puis envoie à son serveur command & control. Il effectue un HTTP POST vers le serveur C2 et, si l’opérateur du malware le souhaite, le serveur renverra des instructions en retour. Ces instructions peuvent indiquer au malware de se copier lui-même dans ce dossier de démarrage afin de pouvoir s’exécuter à nouveau et refaire parler de lui … plus tard, à un autre moment encore indéterminé. Chaque fois que le propriétaire redémarrera la machine, le serveur pourra également envoyer des fichiers complets de malwares dans ces réponses, devenant ainsi une base de lancement de malwares pour d’autres charges virales.

L’adresse du serveur est hardcodée dans le binaire du malware. Toutefois, les cybercriminels qui utilisent Baldr ne craignent pas que des services comme le nôtre découvrent l’adresse de leur serveur C2 et obtiennent la fermeture du domaine. En effet, ils utilisent des services d’hébergement bulletproof, qui placent le logiciel C2 sur plusieurs machines physiques situées à des adresses IP différentes, et qui sont utilisées en conjonction avec le système DNS à flux rapide pointant vers le domaine C2.

Les campagnes sont si rapides que beaucoup de clients Baldr n’ont même pas besoin de payer pour l’hébergement bullerproof qu’ils utilisent, car ils peuvent lancer une campagne entière plus rapidement que ne dure les périodes d’essai gratuites offertes par ces services à leurs nouveaux clients. Les vendeurs diffusant Baldr orientent judicieusement leurs clients vers plusieurs hôtes bulletproof.

Le Blues du Panneau de Configuration

En tant que malware autonome ne disposant pas de fonctionnalités de gestion dans le cloud, Baldr est nécessairement livré avec son propre logiciel de serveur command & control. Le cybercriminel qui achète Baldr l’installe sur le service d’hébergement de domaine de son choix. Il s’agit d’un élégant panneau avec des commutateurs ronds, de grands champs de saisie de texte et des boutons permettant d’activer ou de désactiver certaines fonctionnalités. En bref, cela ressemble beaucoup à l’exemple ci-dessous.

baldr

Les options de recherche du serveur C2 de Baldr

Le panneau sert également de hub d’information pour les données exfiltrées et renvoyées par Baldr, donnant ainsi aux cybercriminels l’occasion de faire un premier survol des données récupérées avant de les sauvegarder dans un format que ce dernier pourra ensuite revendre via des carder forums.

Mais il y a eu quelques échecs notables au niveau opsec de la part de cybercriminels ayant lancé des campagnes Baldr. Plusieurs de ces cerveaux criminels ont mal configuré leur serveur et ont permis à n’importe qui de parcourir un répertoire ouvert contenant les fichiers du serveur. Dans certains cas, nous avons trouvé un fichier zip à la racine du répertoire C2 contenant le package complet du serveur C2, ainsi que les exécutables des malwares avec leurs noms de domaine hardcodés, liés à la commande du client en question.

baldr

Des shells web collectés à partir de la racine web C2 de Baldr

Mais la mauvaise configuration n’est pas le seul problème qui affecte les clients Baldr. La page C2 elle-même contient plusieurs vulnérabilités, dont certaines avaient déjà été exploitées par d’autres cybercriminels et utilisées pour installer des shells web sur le serveur C2. Il s’agissait d’une amorce de pwnage, parfois avec plusieurs interfaces web différentes, certaines datant de quelques heures à peine. Tous ceux qui ont pu pénétrer dans le C2 ont probablement aussi eu accès aux données exfiltrées.

Le MalPal de BaldPr

Baldr ne représentait qu’une des nombreuses familles de malwares vendues par une petite équipe d’éditeurs sur une poignée de sites destinés à ce type de cybercriminels. Au cours de notre enquête, nous avons infiltré plusieurs sites et avons conservé des copies d’écrans d’intéressantes conversations, des notes concernant les caractéristiques et des détails de vente.

Le revendeur de Baldr a également vendu d’autres malwares et a souvent vanté la capacité de Baldr à fournir d’autres malwares en plus de sa capacité à récupérer rapidement toutes données utiles. Lors de tests sandbox étalés sur plusieurs mois, nous avons observé les cas d’Arkei ou de Megumin qui ont diffusé Baldr au cours d’une infection, et celui de Baldr qui a diffusé, quant à lui, Megumin. Ce constat a du sens, étant donné que le principal distributeur de Baldr vend également Megumin. Nous avons également vu des cas dans lesquels Baldr diffusait un ransomware après avoir récupérer les données de sa victime.

Attention à vous, cybercriminels, si vous avez acheté Baldr. Le malware contient des bouts de code copiés et en provenance directe d’autres familles de malwares. Les fonctions utilisées par Baldr pour récupérer les données FileZilla et Telegram imitent les sous-routines d’un autre voleur d’identifiants, GrandStealer. La fonction de conversion de cookies du panneau de commande de Baldr c2 correspond exactement à celle du panneau d’Azorult : le même code Javascript est responsable de cette conversion. “Gate.php” est utilisé par un grand nombre de familles de malwares comme destination c2. Rien de tout cela n’est vraiment original. Baldr est une sorte de monstre de Frankenstein composé de bouts de code provenant d’autres malwares.

Cette observation ne le rend pas moins dangereux, bien sûr. C’est juste moins glamour que ce que les vendeurs nous ont laissé croire. Cela ne le rend pas pour autant meilleur non plus.

Ground zero

baldr

La killchain de Baldr, telle qu’elle apparaît dans Sophos Central

Au cours de l’enquête sur cette histoire qui a alimenté notre rapport Baldr vs The World, nous avons détecté un individu qui testait son échantillon Baldr contre Sophos Antivirus et HitmanPro 3.8. Cette opportunité était juste formidable, et cela nous a fourni beaucoup de données télémétriques sur le comportement de Baldr et sa killchain. Les cybercriminels ont utilisé des cartes de crédit volées pour payer les licences, lesquelles ont été remboursées à leurs propriétaires.

baldr

Des bots Telegram qui aident des clients Baldr

La méthode de service client préférée de Baldr consistait à avoir des chatbots sur la plateforme de messagerie instantanée Telegram, qui répondaient aux demandes de renseignements et fournissaient des tâches de gestion de licence client automatisées. Les clients ont effectué des paiements en utilisant l’une des nombreuses cryptomonnaies ou d’autres monnaies numériques alternatives.

Mais alors que Baldr fonctionnait toujours plutôt bien six mois après sa création, une surprenante annonce a été faite. Le principal revendeur de Baldr a soudainement annoncé, sans prévenir, que Baldr n’était plus disponible à la vente. Les serveurs et titulaires de licence c2 existants peuvent continuer à utiliser le service, mais il n’y aurait pas de nouvelles ventes.

La question de savoir si Baldr va revenir reste en suspens. Nous pensons qu’avec autant de travail effectué sur Baldr en si peu de temps, son créateur, et Baldr (ou son successeur), ne devraient pas tarder à refaire surface. Nous observerons de près les éventuelles reprises d’activités.

Les codes IoC et les hachages relatifs à cette enquête sont disponibles sur le Github des SophosLabs.

L’auteur souhaite remercier Gabor Szappanos et Fraser Howard pour leurs participations à cette recherche.


Billet inspiré de Baldr vs The World: A SophosLabs report, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.