Logiciels malveillants - malware - attaques sous de nombreuses formes et échelles différentes. De plus, la sophistication des logiciels malveillants a considérablement évolué au fil des années. Les attaquants se rendent compte qu’essayer d’injecter l’intégralité du package malveillant dans un système en une seule fois n’est pas toujours la méthode la plus efficace.
Au fil du temps, les logiciels malveillants sont devenus modulaires. Certaines variantes de logiciels malveillants peuvent utiliser différents modules pour modifier la façon dont ils affectent le système cible. Alors, qu’est-ce qu’un malware modulaire et comment fonctionne-t-il ? Découvrons-le à travers l’article suivant !
Modular Malware - Nouvelle méthode d'attaque furtive pour voler des données
Qu’est-ce qu’un malware modulaire ?
Les logiciels malveillants modulaires constituent une menace dangereuse qui attaque le système à différentes étapes. Au lieu d’une attaque directe, le module malveillant adopte une approche secondaire.
Pour ce faire, il installe d’abord uniquement les composants essentiels. Ensuite, au lieu de créer de la fanfare et d’alerter les utilisateurs de sa présence, le premier module cible le système et la cybersécurité ; quelles parties sont principalement responsables, quel type de méthode de protection est appliqué, où le malware peut trouver des vulnérabilités, quels exploits ont les plus grandes chances de succès, etc.
Après avoir détecté avec succès l'environnement local, le module malveillant de première étape peut communiquer avec son serveur de commande et de contrôle (C2). C2 peut alors répondre en envoyant des instructions supplémentaires ainsi que des modules de malware supplémentaires pour tirer parti de l'environnement spécifique dans lequel le malware fonctionne.
Les logiciels malveillants modulaires sont plus bénéfiques que les logiciels malveillants qui regroupent toutes les fonctionnalités dans une seule charge utile, en particulier :
- Les créateurs de logiciels malveillants peuvent rapidement modifier l'identité du logiciel malveillant pour échapper aux antivirus et autres programmes de sécurité .
- Les modules malveillants permettent d’étendre les fonctionnalités à une variété d’environnements. Ainsi, les créateurs de logiciels malveillants peuvent réagir à des cibles spécifiques ou marquer des modules spécifiques pour les utiliser dans des environnements spécifiques.
- Les modules d'origine étaient très petits et plus faciles à changer.
- La combinaison de plusieurs modules malveillants aide les chercheurs en sécurité à prédire ce qui va se passer ensuite.
Les logiciels malveillants modulaires ne sont pas une menace nouvelle. Les développeurs de logiciels malveillants utilisent efficacement depuis longtemps des programmes malveillants modulaires. La différence est que les chercheurs en sécurité rencontrent davantage de modules malveillants dans diverses situations. Les chercheurs ont également découvert l'énorme botnet Necurs (célèbre pour avoir distribué des variantes de ransomware Dridex et Locky ) diffusant des modules malveillants.
Exemple de module malveillant
Il existe des exemples très intéressants de modules malveillants. En voici quelques-uns.
VPNFiltre
VPNFilter est une version récente d'un malware qui attaque les routeurs et les appareils Internet des objets (IoT) . Ce malware fonctionne en trois étapes.
Le malware de première étape contacte un serveur de commande et de contrôle pour télécharger le module de deuxième étape. Le module de deuxième étape collecte des données, exécute des commandes et peut intervenir dans la gestion des appareils (y compris la possibilité de « geler » le routeur, l'appareil IoT ou le NAS). La deuxième étape peut également télécharger des modules de troisième étape, qui font office de plugins pour la deuxième étape. Le module en trois étapes comprend un paquet de détection de trafic SCADA, un module d'infection et un module qui permet au malware de phase 2 de communiquer en utilisant le réseau Tor .
Vous pouvez en savoir plus sur VPNFilter grâce à l'article suivant : Comment détecter le malware VPNFilter avant qu'il ne détruise le routeur.
T9000
Les chercheurs en sécurité de Palo Alto Networks ont découvert le malware T9000 (sans rapport avec Terminator ou Skynet).
T9000 est un outil de collecte d'informations et de données. Une fois installé, T9000 permet aux attaquants de « capturer des données cryptées, de prendre des captures d'écran d'applications spécifiques et de cibler spécifiquement les utilisateurs de Skype » ainsi que les fichiers des produits Microsoft Office. Le T9000 est livré avec différents modules conçus pour échapper à 24 produits de sécurité différents, modifiant ainsi son processus d'installation pour rester non détecté.
DanaBot
DanaBot est un cheval de Troie bancaire en plusieurs étapes doté de différents plugins que les attaquants utilisent pour étendre ses fonctionnalités. Par exemple, en mai 2018, DanaBot a été détecté dans une série d’attaques contre des banques australiennes. À cette époque, les chercheurs ont découvert un ensemble de plugins de détection d'infection, un plugin de visualisation à distance VNC, un plugin de collecte de données et un plugin Tor qui permet une communication sécurisée.
"DanaBot est un cheval de Troie bancaire, ce qui signifie qu'il est nécessairement géo-ciblé dans une certaine mesure", selon le blog Proofpoint DanaBot. « Malgré les nombreuses précautions mises en place, comme nous l'avons vu lors de la campagne américaine, il est encore facile de constater la croissance active, l'expansion géographique et la sophistication des logiciels malveillants. Le malware lui-même contient plusieurs fonctionnalités anti-analyse, ainsi que des modules de vol d'informations et de contrôle à distance régulièrement mis à jour, ajoutant ainsi à sa menace pour les cibles. »
Marap, AdvisorsBot et CobInt
L'article combine trois variantes de modules malveillants en une seule section, car les incroyables chercheurs en sécurité de Proofpoint ont exploré les trois en même temps. Ces variantes de modules malveillants sont similaires mais ont des utilisations différentes. De plus, CobInt fait partie de la campagne Cobalt Group, une organisation criminelle liée à une longue liste de cybercriminels du secteur bancaire et financier.
Marap et AdvisorsBot ont été créés pour cibler l'ensemble du système cible à des fins de défense et cartographier le réseau, puis déterminer si le logiciel malveillant doit télécharger l'intégralité de la charge utile. Si le système cible répond au besoin (par exemple s'il a de la valeur), le logiciel malveillant passe à la deuxième phase de l'attaque.
Comme les autres versions de modules malveillants, Marap, AdvisorsBot et CobInt suivent un processus en trois étapes. La première étape est généralement un e-mail contenant une pièce jointe infectée par un logiciel malveillant dans le but d'exploitation initial. Si l’exploit est réalisé, le malware demande immédiatement la deuxième étape. La deuxième étape comporte un module de reconnaissance pour évaluer les mesures de sécurité et le paysage réseau du système cible. Si le malware indique que tout est en ordre, la dernière étape télécharge le troisième module, y compris la charge utile principale.
Grabuge
Mayhem est une version légèrement plus ancienne du module malveillant. Il est apparu pour la première fois en 2014. Cependant, Mayhem reste un exemple d’excellent malware modulaire. Le malware, découvert par les chercheurs en sécurité de Yandex, cible les serveurs Web Linux et Unix. Il s'installe via un script PHP malveillant.
Une fois installé, le script peut appeler plusieurs plugins qui déterminent l'utilisation optimale du malware.
Les plugins incluent un pirate de mot de passe par force brute ciblant les comptes FTP, WordPress et Joomla , un robot d'exploration Web pour rechercher d'autres serveurs vulnérables et un exploit Heartbleed OpenSLL.
DiamantFox
La dernière variante du module malveillant présentée dans l'article d'aujourd'hui est également l'une des versions les plus complètes. C’est aussi l’un des plus inquiétants, pour plusieurs raisons.
Premièrement, DiamondFox est un botnet modulaire vendu sur divers forums clandestins. Les cybercriminels potentiels peuvent acheter le package botnet modulaire DiamondFox pour accéder à une gamme de capacités d'attaque avancées. Cet outil est mis à jour régulièrement et, comme tous les autres services en ligne, dispose d'un support client personnalisé. (Il a même un journal des modifications !)
Deuxième raison, le botnet modulaire DiamondFox est livré avec de nombreux plugins. Ces fonctionnalités sont activées et désactivées via le tableau de bord, comme il sied à une application pour maison intelligente. Les plugins incluent des outils d'espionnage appropriés, des outils de vol d'informations d'identification, des outils DDoS, des enregistreurs de frappe , des courriers indésirables et même un scanner de RAM.
Comment prévenir une attaque de Modular Malware ?
À l’heure actuelle, il n’existe aucun outil spécifique permettant de protéger les utilisateurs contre une variante de module malveillant. De plus, certaines variantes de modules malveillants ont une portée géographique limitée. Par exemple, Marap, AdvisorsBot et CobInt se trouvent principalement en Russie et dans les pays de la CEI.
Les chercheurs de Proofpoint ont montré que malgré les restrictions géographiques actuelles, si d'autres criminels découvrent une organisation criminelle établie utilisant des logiciels malveillants modulaires, ils suivront certainement leur exemple.
Il est important de savoir comment les modules malveillants atteignent votre système. La majorité des cas enregistrés utilisaient des pièces jointes d'e-mails infectées par des logiciels malveillants , contenant souvent des documents Microsoft Office avec des scripts VBA malveillants. Les attaquants utilisent cette méthode car il est facile d’envoyer des e-mails infectés par des logiciels malveillants à des millions de cibles potentielles. De plus, l’exploit initial est très petit et facilement déguisé en fichier Office normal.
Comme toujours, assurez-vous de maintenir votre système à jour et envisagez d’investir dans un logiciel antivirus de qualité. Ça en vaut la peine!
En savoir plus :