Depuis quelques jours circule un courriel semblant provenir de l'équipe technique Facebook. Mais sa pièce jointe n'est autre qu'une variante du downloader Bredolab, déjà connu pour installer d'autres logiciels malveillants (Waledac, Daurso, Koobface, etc).

Voici un exemple de message (que vous avez aussi certainement reçu) :

Le message fait croire à l'utilisateur que son mot de passe Facebook a été changé et que le nouveau est dans la pièce jointe (ici Facebook_Password_6dd19.zip). Celle-ci contient un simple fichier .exe qui se révèle bien entendu malveillant.

En analysant rapidement le malware, on se rend compte qu'il s'injecte dans des processus Windows, via la méthode classique OpenProcess/VirtualAllocEx/WriteProcessMemory/CreateRemoteThread :

Sur la figure ci-dessus, il demande un handle sur le processus 0x478 (explorer.exe sur notre système de test). Après avoir réalisé les appels à WriteProcessMemory pour recopier le code malveillant dans ce processus, le thread distant est ensuite créé :

Bredolab n'est qu'un downloader ; cet échantillon se connecte au domaine mmsfoundsystem[dot]ru par HTTP afin de télécharger et exécuter d'autres logiciels malveillants :

Afin d'assurer son lancement au prochain redémarrage, il se contente de se recopier dans le dossier Démarrage de l'utilisateur :

Comme indiqué dans un précédent billet, l'outil MSRT de Microsoft est documenté comme supportant Bredolab ; notre échantillon est effectivement détecté comme TrojanDownloader:Win32/Bredolab.X :