Logiciels malveillants - malware - attaques sous de nombreuses formes et échelles différentes. De plus, la sophistication des logiciels malveillants a considérablement évolué au fil des années. Les attaquants se rendent compte qu’essayer d’injecter l’intégralité du package malveillant dans un système en une seule fois n’est pas toujours la méthode la plus efficace.
Au fil du temps, les logiciels malveillants sont devenus modulaires. Certaines variantes de logiciels malveillants peuvent utiliser différents modules pour modifier la façon dont ils affectent le système cible. Alors, qu’est-ce qu’un malware modulaire et comment fonctionne-t-il ? Découvrons-le à travers l’article suivant !
Modular Malware - Nouvelle méthode d'attaque furtive pour voler des données
Les logiciels malveillants modulaires constituent une menace dangereuse qui attaque le système à différentes étapes. Au lieu d’une attaque directe, le module malveillant adopte une approche secondaire.
Pour ce faire, il installe d’abord uniquement les composants essentiels. Ensuite, au lieu de créer de la fanfare et d’alerter les utilisateurs de sa présence, le premier module cible le système et la cybersécurité ; quelles parties sont principalement responsables, quel type de méthode de protection est appliqué, où le malware peut trouver des vulnérabilités, quels exploits ont les plus grandes chances de succès, etc.
Après avoir détecté avec succès l'environnement local, le module malveillant de première étape peut communiquer avec son serveur de commande et de contrôle (C2). C2 peut alors répondre en envoyant des instructions supplémentaires ainsi que des modules de malware supplémentaires pour tirer parti de l'environnement spécifique dans lequel le malware fonctionne.
Les logiciels malveillants modulaires sont plus bénéfiques que les logiciels malveillants qui regroupent toutes les fonctionnalités dans une seule charge utile, en particulier :
Les logiciels malveillants modulaires ne sont pas une menace nouvelle. Les développeurs de logiciels malveillants utilisent efficacement depuis longtemps des programmes malveillants modulaires. La différence est que les chercheurs en sécurité rencontrent davantage de modules malveillants dans diverses situations. Les chercheurs ont également découvert l'énorme botnet Necurs (célèbre pour avoir distribué des variantes de ransomware Dridex et Locky ) diffusant des modules malveillants.
Il existe des exemples très intéressants de modules malveillants. En voici quelques-uns.
VPNFilter est une version récente d'un malware qui attaque les routeurs et les appareils Internet des objets (IoT) . Ce malware fonctionne en trois étapes.
Le malware de première étape contacte un serveur de commande et de contrôle pour télécharger le module de deuxième étape. Le module de deuxième étape collecte des données, exécute des commandes et peut intervenir dans la gestion des appareils (y compris la possibilité de « geler » le routeur, l'appareil IoT ou le NAS). La deuxième étape peut également télécharger des modules de troisième étape, qui font office de plugins pour la deuxième étape. Le module en trois étapes comprend un paquet de détection de trafic SCADA, un module d'infection et un module qui permet au malware de phase 2 de communiquer en utilisant le réseau Tor .
Vous pouvez en savoir plus sur VPNFilter grâce à l'article suivant : Comment détecter le malware VPNFilter avant qu'il ne détruise le routeur.
Les chercheurs en sécurité de Palo Alto Networks ont découvert le malware T9000 (sans rapport avec Terminator ou Skynet).
T9000 est un outil de collecte d'informations et de données. Une fois installé, T9000 permet aux attaquants de « capturer des données cryptées, de prendre des captures d'écran d'applications spécifiques et de cibler spécifiquement les utilisateurs de Skype » ainsi que les fichiers des produits Microsoft Office. Le T9000 est livré avec différents modules conçus pour échapper à 24 produits de sécurité différents, modifiant ainsi son processus d'installation pour rester non détecté.
DanaBot est un cheval de Troie bancaire en plusieurs étapes doté de différents plugins que les attaquants utilisent pour étendre ses fonctionnalités. Par exemple, en mai 2018, DanaBot a été détecté dans une série d’attaques contre des banques australiennes. À cette époque, les chercheurs ont découvert un ensemble de plugins de détection d'infection, un plugin de visualisation à distance VNC, un plugin de collecte de données et un plugin Tor qui permet une communication sécurisée.
"DanaBot est un cheval de Troie bancaire, ce qui signifie qu'il est nécessairement géo-ciblé dans une certaine mesure", selon le blog Proofpoint DanaBot. « Malgré les nombreuses précautions mises en place, comme nous l'avons vu lors de la campagne américaine, il est encore facile de constater la croissance active, l'expansion géographique et la sophistication des logiciels malveillants. Le malware lui-même contient plusieurs fonctionnalités anti-analyse, ainsi que des modules de vol d'informations et de contrôle à distance régulièrement mis à jour, ajoutant ainsi à sa menace pour les cibles. »
L'article combine trois variantes de modules malveillants en une seule section, car les incroyables chercheurs en sécurité de Proofpoint ont exploré les trois en même temps. Ces variantes de modules malveillants sont similaires mais ont des utilisations différentes. De plus, CobInt fait partie de la campagne Cobalt Group, une organisation criminelle liée à une longue liste de cybercriminels du secteur bancaire et financier.
Marap et AdvisorsBot ont été créés pour cibler l'ensemble du système cible à des fins de défense et cartographier le réseau, puis déterminer si le logiciel malveillant doit télécharger l'intégralité de la charge utile. Si le système cible répond au besoin (par exemple s'il a de la valeur), le logiciel malveillant passe à la deuxième phase de l'attaque.
Comme les autres versions de modules malveillants, Marap, AdvisorsBot et CobInt suivent un processus en trois étapes. La première étape est généralement un e-mail contenant une pièce jointe infectée par un logiciel malveillant dans le but d'exploitation initial. Si l’exploit est réalisé, le malware demande immédiatement la deuxième étape. La deuxième étape comporte un module de reconnaissance pour évaluer les mesures de sécurité et le paysage réseau du système cible. Si le malware indique que tout est en ordre, la dernière étape télécharge le troisième module, y compris la charge utile principale.
Mayhem est une version légèrement plus ancienne du module malveillant. Il est apparu pour la première fois en 2014. Cependant, Mayhem reste un exemple d’excellent malware modulaire. Le malware, découvert par les chercheurs en sécurité de Yandex, cible les serveurs Web Linux et Unix. Il s'installe via un script PHP malveillant.
Une fois installé, le script peut appeler plusieurs plugins qui déterminent l'utilisation optimale du malware.
Les plugins incluent un pirate de mot de passe par force brute ciblant les comptes FTP, WordPress et Joomla , un robot d'exploration Web pour rechercher d'autres serveurs vulnérables et un exploit Heartbleed OpenSLL.
La dernière variante du module malveillant présentée dans l'article d'aujourd'hui est également l'une des versions les plus complètes. C’est aussi l’un des plus inquiétants, pour plusieurs raisons.
Premièrement, DiamondFox est un botnet modulaire vendu sur divers forums clandestins. Les cybercriminels potentiels peuvent acheter le package botnet modulaire DiamondFox pour accéder à une gamme de capacités d'attaque avancées. Cet outil est mis à jour régulièrement et, comme tous les autres services en ligne, dispose d'un support client personnalisé. (Il a même un journal des modifications !)
Deuxième raison, le botnet modulaire DiamondFox est livré avec de nombreux plugins. Ces fonctionnalités sont activées et désactivées via le tableau de bord, comme il sied à une application pour maison intelligente. Les plugins incluent des outils d'espionnage appropriés, des outils de vol d'informations d'identification, des outils DDoS, des enregistreurs de frappe , des courriers indésirables et même un scanner de RAM.
Comment prévenir une attaque de Modular Malware ?
À l’heure actuelle, il n’existe aucun outil spécifique permettant de protéger les utilisateurs contre une variante de module malveillant. De plus, certaines variantes de modules malveillants ont une portée géographique limitée. Par exemple, Marap, AdvisorsBot et CobInt se trouvent principalement en Russie et dans les pays de la CEI.
Les chercheurs de Proofpoint ont montré que malgré les restrictions géographiques actuelles, si d'autres criminels découvrent une organisation criminelle établie utilisant des logiciels malveillants modulaires, ils suivront certainement leur exemple.
Il est important de savoir comment les modules malveillants atteignent votre système. La majorité des cas enregistrés utilisaient des pièces jointes d'e-mails infectées par des logiciels malveillants , contenant souvent des documents Microsoft Office avec des scripts VBA malveillants. Les attaquants utilisent cette méthode car il est facile d’envoyer des e-mails infectés par des logiciels malveillants à des millions de cibles potentielles. De plus, l’exploit initial est très petit et facilement déguisé en fichier Office normal.
Comme toujours, assurez-vous de maintenir votre système à jour et envisagez d’investir dans un logiciel antivirus de qualité. Ça en vaut la peine!
En savoir plus :
Comme beaucoup d'autres plates-formes, Windows dispose également d'un gestionnaire de presse-papiers spécialisé appelé « Historique du presse-papiers ».
La version macOS Big Sur a été officiellement annoncée lors de la récente conférence WWDC. Et vous pouvez complètement amener l'interface de macOS Big Sur sur Windows 10 avec l'outil Rainmeter.
RDStealer est un malware qui tente de voler des informations d'identification et des données en infectant un serveur RDP et en surveillant ses connexions à distance.
Il est peut-être temps de dire au revoir à l'Explorateur de fichiers et d'utiliser un logiciel de gestion de fichiers tiers ? Voici les 7 meilleures alternatives à l’Explorateur de fichiers Windows.
LoRaWAN ou Long Range Wireless Area Network est utile pour la communication entre des appareils à faible consommation sur de longues distances.
En accédant aux options de démarrage avancées, vous pouvez réinitialiser Windows 10, restaurer Windows 10, restaurer Windows 10 à partir d'un fichier image que vous avez créé précédemment, corriger les erreurs de démarrage, ouvrir l'invite de commande pour exécuter des options différentes, ouvrir les paramètres UEFI, modifier les paramètres de démarrage. ..
Chaque fois que vous vous inscrivez à un nouveau service, vous pouvez choisir un nom d'utilisateur et un mot de passe ou simplement vous connecter avec Facebook ou Twitter. Mais faut-il le faire ?
DNS Google 8.8.8.8 8.8.4.4 est l'un des DNS que de nombreux utilisateurs choisissent d'utiliser, notamment pour accélérer l'accès au réseau ou l'accès bloqué à Facebook.
Si vous utilisez Microsoft Edge sur un ordinateur Windows 10 partagé et que vous souhaitez garder votre historique de navigation privé, vous pouvez faire en sorte qu'Edge se lance toujours en mode InPrivate.
Il existe deux types de chiffrement couramment déployés aujourd’hui : le chiffrement symétrique et asymétrique. La différence fondamentale entre ces deux types de chiffrement réside dans le fait que le chiffrement symétrique utilise une clé unique pour les opérations de chiffrement et de déchiffrement.
