Furtim, un malware paranoïaque de la sécurité
Une société de sécurité a découvert un malware, baptisé Furtim, qui scrute et analyse tous les outils de sécurité qui pourraient le détecter.
La société EnSilo, spécialisée en sécurité informatique, a découvert et analysé un malware qui fait beaucoup d’efforts pour ne pas se faire remarquer. Une attention compulsive pour se cacher auquel la société a été sensible au point de le baptiser, Furtim, nom latin pour furtif. Il a traqué ce logiciel malveillant pour remonter à certains serveurs de commandes et contrôle basés en Russie qui renvoie une adresse IP Ukrainienne.
Si la firme n’a pas réussi à découvrir la façon dont le malware se répand ou comment il arrive à infecter le terminal, il n’en demeure pas moins que le mode opératoire de Furtim est unique. Dès son installation, le malware vérifie la présence d’environnement virtualisé ou de sandbox, des outils utilisés par les spécialistes en sécurité pour détecter les logiciels malveillants. De plus, Furtim met en place des filtres pour savoir quelle solution de sécurité est présente sur l’appareil. Méticuleux, il a dans son portefeuille des filtres pour 400 produits de sécurité « des plus connus aux plus ésotériques », explique EnSilo, dans un blog. S’il en détecte au moins un, Furtim interrompt son installation.
Bloquer tout ce qui touche à la sécurité
En cas d’installation, il s’attaque rapidement à la partie réseau en scannant les interfaces pour voir s’il y a du filtrage DNS. Si c’est le cas, il remplace les nameservers par des nameservers publics (fournis par Google et Level 3). Il en profite pour bloquer l’accès à 250 sites liés à l’information sur la sécurité (antivirus, firewall, etc.), y compris des forums d’aide en ligne comme Bleepingcomputer.com. Furtim va encore plus loin en désactivant les notifications Windows, les pop-up, l’accès aux lignes de commande et le gestionnaire des tâches.
Selon les experts de EnSilo, Furtim joue le rôle d’éclaireur, il prépare le terrain pour mener des attaques élaborées. Une fois installé, il récolte un maximum d’informations sur le terminal infecté et les renvoie aux serveurs C&C. Les spécialistes ont découvert 3 types de charges placées par Furtim. La première est un outil de configuration de l’autonomie d’un terminal, l’objectif étant de laisser le PC en veille pour qu’il puisse communiquer avec le serveur C&C. La seconde implantation est d’un logiciel dédié au vol de données (mot de passe, identifiants, etc.), nommé Pony Stealer. Enfin, le troisième élément est pour l’instant inconnu car EnSilo n’a pas été en mesure de l’analyser en profondeur.
Il y a donc encore des travaux à mener sur ce malware : modus operandi, cible, commanditaires. Une chose est sûre, le fait de l’avoir découvert et d’en parler ne plaît pas tout le monde. A la suite de la publication du blog, le site de EnSilo a été victime d’une attaque DDoS l’obligeant à disparaître temporairement.
A lire aussi :
Cybersécurité : un malware menace les échanges bancaires via Swift
Malware museum : la nostalgie des virus s’expose
