Décryptage cyberattaque - HP constate que les hackers combinent des méthodes simples pour tromper les outils de détection et déployer des logiciels malveillants multilingues
août 2023 par HP Wolf Security
HP Wolf Security présente les différentes menaces et décrypte les méthodes des cyberpirates pour contourner les mesures de sécurité de Windows et les scanners anti-virus. HP Sure Click protège les utilisateurs contre ce type de menaces en permettant à HP de conserver la trace du logiciel malveillant. HP présente le fonctionnement de l’attaque et indique les mesures de protection à adopter par les organisations dépourvues de solution de sécurité.
Dans le cas décrit, les cybercriminels utilisent un ensemble de techniques simples et astucieuses pour infiltrer les PC des victimes. Ils utilisent AsyncRAT, un cheval de Troie d’accès à distance capable de dérober des informations confidentielles.
– L’art de l’illusion - En faisant passer des fichiers inhabituels (comme les fichiers batch) pour des fichiers plus familiers (comme les PDF), les pirates peuvent inciter les utilisateurs à cliquer sur des pièces jointes malveillantes. Cette technique repose sur le fait que Windows masque les extensions de fichiers par défaut. Par exemple, si un fichier batch (.bat) est enregistré sous le nom de "hello.pdf.bat", il apparaîtra sous le nom de "hello.pdf" dans l’explorateur de fichiers de Windows. Cette technique est de plus en plus utilisée par les pirates.
– Les uns et les zéros - Les hackers gonflent artificiellement leurs fichiers malveillants en les truffant de millions d’uns et de zéros inutiles. Certains ont alors une taille de près de 2 Go, ce qui est trop volumineux pour être analysé par de nombreux scanners antivirus, laissant ainsi les logiciels malveillants échapper à une phase de détection cruciale. Comme la séquence gonflée suit un schéma répétitif, le logiciel malveillant peut être compressé dans un fichier d’archive de quelques mégaoctets seulement, parfaitement adapté à la diffusion du logiciel malveillant sous forme de spam.
– Les logiciels malveillants multilingues - Il s’agit de la partie la plus ingénieuse. En utilisant plusieurs langages de programmation, le pirate échappe à la détection en chiffrant la charge utile à l’aide d’un crypteur écrit en Go, avant de désactiver les fonctions d’analyse anti-programmes malveillants qui habituellement la détecteraient. Le logiciel passe ensuite au langage C++ pour interagir avec le système d’exploitation de la victime et exécuter le logiciel malveillant .NET en mémoire, en laissant un minimum de traces sur l’ordinateur. L’exécution en mémoire de fichiers .NET à partir de C++ nécessite des connaissances approfondies sur les éléments internes non documentés de Windows, mais ces compétences sont accessibles sur les forums de hackers.
"Les cyberpirates utilisent des outils simples accessibles sur le dark web afin de lancer des attaques complexes et sophistiquées", explique Patrick Schläpfer, analyste des logiciels malveillants au sein de l’équipe de recherche sur les menaces de HP Wolf Security. "Il est probable que cette attaque en particulier ait été menée par un individu ou un petit groupe. En effet, elle utilise le même serveur avec une seule adresse IP pour la diffusion des spams et la mise en place du dispositif de commande et de contrôle. Des groupes de cyberpirates plus importants comme QakBot génèrent d’énormes attaques de spams en utilisant des informations d’identification compromises et en se connectant à leur infrastructure C2 par le biais de plusieurs serveurs proxy."