BKDR_SHIZ responsable d’attaques visant SAP

Les chercheurs en sécurité de Trend Micro ont récemment identifié un malware ciblant les systèmes SAP afin de détourner des informations. Cette menace identifiée en tant que BKDR_SHIZ.TO, fait partie d’une famille de malware détectée depuis 2010. Jusqu’à présent, ces malwares n’ont reçu que peu d’attention, mais en ciblant les applications SAP, les choses devraient changer.

Que savons-nous de ce malware? Il agit principalement en tant que backdoor qui enregistre les saisies au clavier des utilisateurs dans certaines applications, et notamment les applications SAP. Mais SAP est loin d’être la seule cible, comme souligné ci-dessous :

BKDR_SHIZ - processus d’identification des applications installée

Schéma 1. BKDR_SHIZ – processus d’identification des applications installées

Cette portion de son code vérifie si certaines applications précises sont exécutées sur le système infecté. Elle vérifie aussi si le fichier est situé dans le bon dossier pour chaque application, afin de valider que les programmes installés (et non pas les sauvegardes avec même nom de fichier, par exemple) sont bien celles auxquels se connecter.

Si une application de la liste est présente, son emplacement est enregistré et envoyé au serveur command-and-control (C&C) lié au backdoor. Ceci permet aux auteurs de l’attaque d’identifier précisément le panel d’applications installées sur le système infecté.

La liste d’applications cibles est très longue. Dans l’exemple fourni ci-dessus, au-delà de SAP, d’autres catégories de produits sont ciblées, comme des logiciels de chiffrement et les portefeuilles Bitcoin/Litecoin. En outre, plusieurs jeux sont également visés , et notamment certains qui ne sont pas récents.

Ce malware sonde les applications et enregistre les saisies au clavier (keylogging). Cette saisie ne se limite pas aux applications ciblées, puisque toute saisie sans une fenêtre active est enregistrée. Les éléments suivants sont enregistrés : le nom de la fenêtre active, l’heure de la saisie et le contenu des saisies.

 Exemple d’un enregistrement de saisie au clavier

Schéma 2. Exemple d’un enregistrement de saisie au clavier

Au-delà de ces activités, ce malware présente toutes les fonctions d’un backdoor:

  • Téléchargement et exécution de fichiers
  • Redémarrage du système d’exploitation
  • Mise à jour automatique

BKDR_SHIZ.TO est capable de détourner des informations auprès des utilisateurs SAP, mais cette tâche n’est pas véritablement réalisée de manière précise. Reste à savoir si ce malware encouragera d’autres attaques ciblant les utilisateurs SAP, et cette possibilité n’est pas à écarter. Notons néanmoins qu’on peut s’interroger sur la finalité de ce malware, puisque le détournement d’informations n’étant pas ciblé.

Trend Micro propose sa solution Deep Security pour les environnements SAP. Pour télécharger la fiche solution, c’est par ici.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.