Brève : Furtim, un malware très prudent.
Date : 07 Mai 2016
Découvert par un certain « hFireF0X » et baptisé « Furtim » par les experts sécurité de la société EnSilo, ce nouveau logiciel malveillant prend beaucoup de précautions pour passer inaperçu sur les machines qu’il parvient à infecter.
Très sophistiqué Furtim se compose :
- D’un pilote qui scanne en profondeur le poste de travail de la victime,
- Un module de téléchargement permettant de récupérer sur Internet les différents modules et de les installer,
- Trois charges utiles qui sont :
- Un gestionnaire d’alimentation permettant la configuration de la mise en veille de la machine. Il a pour but de laisser le poste de travail en veille afin de communiquer avec le serveur de commandes et de contrôle,
- Un voleur de données baptisé « Pony Stealer » permettant de récupérer des informations d’identification,
- Un module de communication serveur.
Le mode opératoire de Furtim est également unique puisqu’il est capable d’analyser son environnement avant de s’exécuter.
Pour ce faire, il commence par scanner la machine infectée pour détecter la présence de solutions de sécurité à l’aide de 400 filtres. En cas de détection positive, Furtim arrête alors son installation.
Dans un second temps, il scanne le réseau à la recherche d’outils de filtrages DNS puis bloque l’accès à des sites spécialisés dans la sécurité. Il en profite également pour désactiver toutes les notifications Windows, les popups, l’accès aux lignes de commande et le gestionnaire des tâches.
Enfin lorsqu’il parvient à s’installer, le malware exécute alors les charges utiles citées ci-dessus.
D’après les experts d’EnSilo, ce malware serait l’œuvre de hackers d’Europe de l’Est. Il serait utilisé pour introduire des nouvelles menaces sur les postes infectés sans que cela ne soit détectable pour mener des attaques. Par ailleurs, EnSilo n’a pas réussi à découvrir comment le malware se propage ou comment il infecte les machines.