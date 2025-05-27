Mispadu, également connu sous le nom d’Ursa, est un logiciel malveillant financier à superposition distante qui vise les banques des pays hispanophones et lusophones tels que le Mexique, la Colombie, l’Argentine, le Chili, le Portugal, l’Espagne et d’autres. En termes simples, un logiciel malveillant de superposition à distance est un programme malveillant conçu pour contrôler le système de la victime en contrôlant ses périphériques (souris et clavier), tandis que le fraudeur voit l’écran de la victime en direct.
Mispadu est apparu pour la première fois en 2019 et a fait une réapparition en 2022. Comme ses homologues Mekotio et Grandoreiro, Mispadu est écrit dans le langage de programmation Delphi. Contrairement à ces derniers, il était moins en vue jusqu’à récemment, lorsque de nouvelles campagnes ont été observées dans plusieurs pays d’Amérique centrale, d’Amérique latine et d’Europe. Pour plus d’informations sur Mekotio, consultez notre précédent article de blog Le cheval de Troie bancaire Mekotio cible l’Amérique latine.
Mispadu ayant repris du service, plusieurs changements ont été apportés à ses opérations, notamment le codage des communications de commande et de contrôle (C2C), que nous allons découvrir dans cet article.
En tant que superposition à distance, la communication du logiciel malveillant avec son opérateur est cruciale pour une attaque réussie. Cette communication consiste généralement en une série de commandes opérationnelles transmises par le fraudeur au programme malveillant exécuté sur le système de la victime.
De nombreuses attaques superposées, comme le vol de l’argent de la victime via son compte bancaire, sont exécutées pendant que le fraudeur observe et contrôle les sessions de la victime en direct.
Même si on pourrait imaginer de manière intuitive que la communication avec le fraudeur se produit immédiatement après l’exécution du programme malveillant par l’utilisateur, ce n’est pas le cas. Ces communications présentent un risque important pour le fraudeur car elles peuvent déclencher des alertes provenant de programmes antivirus.
Dans notre scénario et dans la plupart des cas impliquant d’autres superpositions à distance, la communication n’est initiée que lorsque l’utilisateur accède à l’une des cibles du logiciel malveillant, à savoir les sites Internet des banques des pays hispanophones ou lusophones.
Lorsque l’utilisateur accède à l’une des listes cibles du logiciel malveillant, la communication avec le serveur C2C est établie. Pour ce faire, on utilise les API WIN32 Socket, qui constituent la méthode la plus pratique pour ce type de communication.
Avant d’établir la connexion, le logiciel malveillant remplit les informations de la connexion, y compris le port et l’adresse de destination.
Une fois le socket connecté, le message « GFHHVG.. » est envoyé au serveur C2C.
Une fois le socket connecté et la balise envoyée au serveur C2C, le logiciel malveillant attend une entrée du serveur C2C. Une fois reçu, le message est géré par l’une des fonctions « lecture » suivantes, selon la séquence du message reçu :
Ces fonctions sont similaires les unes aux autres et leur objectif est d’analyser les messages reçus du C2C.
Examinons la première fonction "TwYHJk1_wC51Read" :
Une fois que le logiciel malveillant reçoit un message du C2C, il l’analyse en décodant le message puis en le comparant à une chaîne qui représente une commande. Dans la première fonction de « lecture » telle que vue dans l’extrait de code, la première commande comparée est "<|SocketMain|>". Dans les autres fonctions de « lecture », les commandes comparées sont différentes.
Vous remarquerez la fonction dans l’adresse 0x7364A8.
Cette fonction est responsable du décodage complet du message. Elle reçoit une chaîne et, après plusieurs manipulations mathématiques, elle renvoie une chaîne décodée.
Examinons cette fonction de plus près et découvrons son algorithme.
L’encodage des communications permet de dissimuler les intentions et les méthodes opérationnelles du fraudeur. Pour ce faire, vous pouvez utiliser des algorithmes de communication préexistants ou des algorithmes personnalisés. Comme nous l’avons montré précédemment, le message "GFHHV.." semble être un message codé, ce qui, en raison de sa nature apparemment aléatoire et dénuée de sens, laisse penser qu’il s’agit d’un encodage.
Lorsque nous étudions la fonction de décodage de la communication C2C, nous pouvons constater que la mise en œuvre du mécanisme de décodage est simple et qu’elle sert à décoder les messages reçus du serveur C2C. Ce même mécanisme est également utilisé pour encoder les messages envoyés au serveur C2C.
Prenons l’exemple ci-dessus que nous voulons décoder. “GFHHVGCGEFUGAFOFUGCFMFXHVFJ@”
Décomposons le processus de décodage avec les étapes suivantes :
Étape 1 : Prenez le premier caractère (« G » GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) et convertissez-le en ASCII. Sa valeur est de 71. De cette valeur, soustrayons 65 (la valeur ASCII de « A »). Le résultat est 6.
6 est notre valeur répétitive pendant le processus de décodage, sur lequel nous reviendrons plus tard.
Étape 2 : prenez le caractère suivant (« F » GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) et convertissez-le en ASCII. Sa valeur est de 70. Soustraire 65 (valeur ASCII de « A »).
Le résultat est 5.
Supposons qu’il s’agisse d’une variable X.
Les deux lignes de code d’assemblage peuvent être représentées par l’équation suivante :
(X + 4X) + (X + 4X)*4 => 25X = 25*5 = 125
Étape 3 : prenez le caractère suivant (« H » GFHHVGCGEFUGAFOFUGCFMFXHVFJ), valeur ASCII : 72. Soustraire la valeur ASCII « A » : résultat 7.
Ajoutez à cette valeur le résultat de l’étape précédente. 125 + 7 = 132.
De cette valeur, soustrayez deux valeurs : une valeur constante de 66 (« B ») et la valeur de l’étape 1. 132 — 66 — 6 = 60. En ASCII, « < ». Voici le premier caractère de notre chaîne décodée.
Étape 4 : itérez à nouveau l’étape 2 + l’étape 3 avec la paire de caractères suivante (« H » et « V »GFHHVG..), en créant la chaîne décodée via l’ajout du caractère décodé suivant à chaque fois.
Étape 5 : « @ » représente la fin de la chaîne GFHHVGCGEFUGAFOFUGCFMFXHVFJ@
Nous pouvons maintenant imprimer le résultat du décodage du texte encodé : <|PRINCIPAL|>
Cette chaîne représente la balise de communication initiale envoyée par le logiciel malveillant au serveur C2C.
L’une des conséquences de cette méthode de codage et de décodage est que des caractères codés distincts peuvent donner le même caractère décodé.
Par exemple, les caractères GGC et AFV correspondent tous deux au même caractère P.
Un autre exemple, pour un scénario plus complexe. En parlant de chaînes de caractères, « GFHHVGCGEFUGAFOFUGCFMFXHVFJ » et « AFBHPFVFXFOFTFIFOFVFGFRHPFD » seraient décodées en un même texte en clair.
L’un des avantages de ces algorithmes d’encodage et de décodage est que si le réseau est surveillé, il est presque impossible de comprendre le mode opérationnel du logiciel malveillant sans obtenir l’algorithme de décodage. Cela est dû à la grande variété d’options de codage disponibles pour chaque commande, qui fait apparaître le même mode d’opération du logiciel malveillant de manière différente à chaque fois sur le moniteur réseau.
Une fois la commande décodée, la marche à suivre pour l’échantillon est assez simple. Chaque commande possède sa propre fonction opérationnelle, ce qui permet au fraudeur d’effectuer diverses tâches sur le système de la victime, notamment la surveillance de l’écran, le contrôle de la souris et du clavier, etc.
Examinons les commandes implémentées dans le logiciel malveillant qui permettent au fraudeur d’exécuter diverses tâches sur le système de la victime.
Une fois la communication établie, le logiciel malveillant envoie une balise, notée « <|PRINCIPAL|> », au serveur C2C pour signaler la création du réseau.
Une fois cette première étape franchie, le fraudeur obtient un contrôle étendu sur le système de la victime, capable d’effectuer un large éventail de tâches. L’une des commandes cruciales est l’extraction de précieuses informations sur le système. Cette opération est facilitée par la commande "< |Info| >" , qui permet d’exporter des informations fondamentales sur le système de la victime. Ces informations concernent la version Windows, la position géographique, le navigateur actuellement actif et la page Web en cours de consultation. Voici un exemple de réponse du logiciel malveillant à cette commande, renvoyée au serveur C2C :
"<|Info|>Win 10<|>Bank x<|>Chrome<|>4:04:12 PM<<"
Cette réponse indique que le système de la victime exécute Windows 10, utilise Chrome et visualise actuellement une page Web de la banque X à 16 h 04 et 12 secondes.
Ces informations sont volées pour plusieurs raisons. Connaître le système d’exploitation de l’appareil de la victime peut faciliter le processus de compromission à l’aide d’outils malveillants supplémentaires. Chaque outil peut prendre en charge différentes versions du système, et connaître le site bancaire de la victime peut aider le fraudeur à mener à bien une attaque.
Actuellement, les attaques par superposition à distance comptent parmi les menaces les plus répandues pour les comptes bancaires des utilisateurs, ce qui présente des risques importants pour les banques et leurs clients. Un aspect critique de ces attaques implique la communication du logiciel malveillant avec ses opérateurs, qui est intégrale à leur méthodologie opérationnelle. Établir une communication directe et en direct est essentiel pour exécuter de telles attaques. En codant ces communications, le logiciel malveillant entend rendre plus difficile l’inversion du processus et ajouter une nouvelle brique à son mur de défense. En tant qu’experts en cybersécurité, notre objectif premier est de surveiller, d’analyser et de bloquer ces communications afin d’empêcher la mise en œuvre d’activités frauduleuses.
Pour se protéger, les utilisateurs doivent consulter régulièrement les applications qu’ils ont installées, en supprimant rapidement celles qui leur sont inconnues ou suspectes.
De plus, il est essentiel de surveiller les comptes e-mail pour toute activité inhabituelle, comme des tentatives de connexion inattendues, et de surveiller de près les portefeuilles de cryptomonnaies pour toute transaction non autorisée ou action inconnue. En restant proactif et prudent, vous pouvez contribuer à atténuer les risques posés par ce paradigme d’attaque en constante évolution.
