Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 
Les événements

PROGRAMME DES GSDAYS 28 JANVIER 2025

    

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Décryptage cyberattaque - HP constate que les hackers combinent des méthodes simples pour tromper les outils de détection et déployer des logiciels malveillants multilingues

août 2023 par HP Wolf Security

HP Wolf Security présente les différentes menaces et décrypte les méthodes des cyberpirates pour contourner les mesures de sécurité de Windows et les scanners anti-virus. HP Sure Click protège les utilisateurs contre ce type de menaces en permettant à HP de conserver la trace du logiciel malveillant. HP présente le fonctionnement de l’attaque et indique les mesures de protection à adopter par les organisations dépourvues de solution de sécurité.

Dans le cas décrit, les cybercriminels utilisent un ensemble de techniques simples et astucieuses pour infiltrer les PC des victimes. Ils utilisent AsyncRAT, un cheval de Troie d’accès à distance capable de dérober des informations confidentielles.

 L’art de l’illusion - En faisant passer des fichiers inhabituels (comme les fichiers batch) pour des fichiers plus familiers (comme les PDF), les pirates peuvent inciter les utilisateurs à cliquer sur des pièces jointes malveillantes. Cette technique repose sur le fait que Windows masque les extensions de fichiers par défaut. Par exemple, si un fichier batch (.bat) est enregistré sous le nom de "hello.pdf.bat", il apparaîtra sous le nom de "hello.pdf" dans l’explorateur de fichiers de Windows. Cette technique est de plus en plus utilisée par les pirates.

 Les uns et les zéros - Les hackers gonflent artificiellement leurs fichiers malveillants en les truffant de millions d’uns et de zéros inutiles. Certains ont alors une taille de près de 2 Go, ce qui est trop volumineux pour être analysé par de nombreux scanners antivirus, laissant ainsi les logiciels malveillants échapper à une phase de détection cruciale. Comme la séquence gonflée suit un schéma répétitif, le logiciel malveillant peut être compressé dans un fichier d’archive de quelques mégaoctets seulement, parfaitement adapté à la diffusion du logiciel malveillant sous forme de spam.

 Les logiciels malveillants multilingues - Il s’agit de la partie la plus ingénieuse. En utilisant plusieurs langages de programmation, le pirate échappe à la détection en chiffrant la charge utile à l’aide d’un crypteur écrit en Go, avant de désactiver les fonctions d’analyse anti-programmes malveillants qui habituellement la détecteraient. Le logiciel passe ensuite au langage C++ pour interagir avec le système d’exploitation de la victime et exécuter le logiciel malveillant .NET en mémoire, en laissant un minimum de traces sur l’ordinateur. L’exécution en mémoire de fichiers .NET à partir de C++ nécessite des connaissances approfondies sur les éléments internes non documentés de Windows, mais ces compétences sont accessibles sur les forums de hackers.

"Les cyberpirates utilisent des outils simples accessibles sur le dark web afin de lancer des attaques complexes et sophistiquées", explique Patrick Schläpfer, analyste des logiciels malveillants au sein de l’équipe de recherche sur les menaces de HP Wolf Security. "Il est probable que cette attaque en particulier ait été menée par un individu ou un petit groupe. En effet, elle utilise le même serveur avec une seule adresse IP pour la diffusion des spams et la mise en place du dispositif de commande et de contrôle. Des groupes de cyberpirates plus importants comme QakBot génèrent d’énormes attaques de spams en utilisant des informations d’identification compromises et en se connectant à leur infrastructure C2 par le biais de plusieurs serveurs proxy."


Voir les articles précédents

    

Voir les articles suivants