Malware Tonnerre

Tonnerre Malware es la carga útil de la etapa final utilizada en las actividades renovadas de lo que se cree que es un grupo ATP (Advanced Persistent Threat) respaldado por Irán conocido como Infy. Escrito en Delphi, Tonnerre está diseñado como una carga útil separada que amplía la funcionalidad de otra herramienta de malware Infy llamada Foudre Malware. Al separar la funcionalidad deseada en dos amenazas diferentes, los piratas informáticos podrían estar intentando reducir su huella en el sistema comprometido.

Sin embargo, el ejecutable de Tonnerre Malware es increíblemente grande, con 56 MB. Intenta disfrazarse de software legítimo. Las versiones anteriores pretenden ser un programa llamado 'SilverSoft Speed', mientras que más tarde se presentaron como 'Synaptics'. De manera similar al Foudre Malware, el Tonnerre Malware también está equipado con una rutina que autentica su servidor Command-and-Control (C2, C&C). Además, Tonnerre emplea una estructura de comunicación C2 dual.

Primero, la amenaza usa DGA para encontrar su servidor C2 y luego lo verifica a través de una firma RSA. La comunicación con este servidor se realiza a través de HTTP y se utiliza para almacenar metadatos generales sobre la víctima infectada, recolectando archivos que coinciden con extensiones predefinidas, obteniendo actualizaciones y obteniendo la dirección del C2 secundario. La estructura C2 adicional se utiliza para filtrar los datos recopilados y para recibir una lista de comandos que se pueden ejecutar en el dispositivo comprometido. La comunicación con este servidor se aprovecha a través de FTP.

Tonnerre Malware contiene 5 formularios Delphi, cada uno programado con diferentes funcionalidades. Uno es responsable del proceso de instalación de la amenaza y el establecimiento de un mecanismo de persistencia a través de una tarea programada para helper.exe y una clave de registro 'Ejecutar'. El siguiente es responsable de recopilar datos selectos. Captura documentos de carpetas predefinidas como Documentos, Imágenes, Descargas, etc. Además, puede recolectar datos de recursos compartidos de red a través de las funciones WNetOpenEnumW y WNetEnumResourceW de mpr.dll.

Un formulario de Delphi separado maneja la conexión con el servidor FTP C2 secundario. Otro recopila archivos de medios extraíbles rastreando los mensajes WM_DEVICECHANGE y enumerando los dispositivos. La última forma utiliza la pobre herramienta de línea de comandos para grabar sonido.