Logiciels malveillants - malware - attaques sous de nombreuses formes et échelles différentes. De plus, la sophistication des logiciels malveillants a considérablement évolué au fil des années. Les attaquants se rendent compte qu’essayer d’injecter l’intégralité du package malveillant dans un système en une seule fois n’est pas toujours la méthode la plus efficace.
Au fil du temps, les logiciels malveillants sont devenus modulaires. Certaines variantes de logiciels malveillants peuvent utiliser différents modules pour modifier la façon dont ils affectent le système cible. Alors, qu’est-ce qu’un malware modulaire et comment fonctionne-t-il ? Découvrons-le à travers l’article suivant !
Modular Malware - Nouvelle méthode d'attaque furtive pour voler des données
Les logiciels malveillants modulaires constituent une menace dangereuse qui attaque le système à différentes étapes. Au lieu d’une attaque directe, le module malveillant adopte une approche secondaire.
Pour ce faire, il installe d’abord uniquement les composants essentiels. Ensuite, au lieu de créer de la fanfare et d’alerter les utilisateurs de sa présence, le premier module cible le système et la cybersécurité ; quelles parties sont principalement responsables, quel type de méthode de protection est appliqué, où le malware peut trouver des vulnérabilités, quels exploits ont les plus grandes chances de succès, etc.
Après avoir détecté avec succès l'environnement local, le module malveillant de première étape peut communiquer avec son serveur de commande et de contrôle (C2). C2 peut alors répondre en envoyant des instructions supplémentaires ainsi que des modules de malware supplémentaires pour tirer parti de l'environnement spécifique dans lequel le malware fonctionne.
Les logiciels malveillants modulaires sont plus bénéfiques que les logiciels malveillants qui regroupent toutes les fonctionnalités dans une seule charge utile, en particulier :
Les logiciels malveillants modulaires ne sont pas une menace nouvelle. Les développeurs de logiciels malveillants utilisent efficacement depuis longtemps des programmes malveillants modulaires. La différence est que les chercheurs en sécurité rencontrent davantage de modules malveillants dans diverses situations. Les chercheurs ont également découvert l'énorme botnet Necurs (célèbre pour avoir distribué des variantes de ransomware Dridex et Locky ) diffusant des modules malveillants.
Il existe des exemples très intéressants de modules malveillants. En voici quelques-uns.
VPNFilter est une version récente d'un malware qui attaque les routeurs et les appareils Internet des objets (IoT) . Ce malware fonctionne en trois étapes.
Le malware de première étape contacte un serveur de commande et de contrôle pour télécharger le module de deuxième étape. Le module de deuxième étape collecte des données, exécute des commandes et peut intervenir dans la gestion des appareils (y compris la possibilité de « geler » le routeur, l'appareil IoT ou le NAS). La deuxième étape peut également télécharger des modules de troisième étape, qui font office de plugins pour la deuxième étape. Le module en trois étapes comprend un paquet de détection de trafic SCADA, un module d'infection et un module qui permet au malware de phase 2 de communiquer en utilisant le réseau Tor .
Vous pouvez en savoir plus sur VPNFilter grâce à l'article suivant : Comment détecter le malware VPNFilter avant qu'il ne détruise le routeur.
Les chercheurs en sécurité de Palo Alto Networks ont découvert le malware T9000 (sans rapport avec Terminator ou Skynet).
T9000 est un outil de collecte d'informations et de données. Une fois installé, T9000 permet aux attaquants de « capturer des données cryptées, de prendre des captures d'écran d'applications spécifiques et de cibler spécifiquement les utilisateurs de Skype » ainsi que les fichiers des produits Microsoft Office. Le T9000 est livré avec différents modules conçus pour échapper à 24 produits de sécurité différents, modifiant ainsi son processus d'installation pour rester non détecté.
DanaBot est un cheval de Troie bancaire en plusieurs étapes doté de différents plugins que les attaquants utilisent pour étendre ses fonctionnalités. Par exemple, en mai 2018, DanaBot a été détecté dans une série d’attaques contre des banques australiennes. À cette époque, les chercheurs ont découvert un ensemble de plugins de détection d'infection, un plugin de visualisation à distance VNC, un plugin de collecte de données et un plugin Tor qui permet une communication sécurisée.
"DanaBot est un cheval de Troie bancaire, ce qui signifie qu'il est nécessairement géo-ciblé dans une certaine mesure", selon le blog Proofpoint DanaBot. « Malgré les nombreuses précautions mises en place, comme nous l'avons vu lors de la campagne américaine, il est encore facile de constater la croissance active, l'expansion géographique et la sophistication des logiciels malveillants. Le malware lui-même contient plusieurs fonctionnalités anti-analyse, ainsi que des modules de vol d'informations et de contrôle à distance régulièrement mis à jour, ajoutant ainsi à sa menace pour les cibles. »
L'article combine trois variantes de modules malveillants en une seule section, car les incroyables chercheurs en sécurité de Proofpoint ont exploré les trois en même temps. Ces variantes de modules malveillants sont similaires mais ont des utilisations différentes. De plus, CobInt fait partie de la campagne Cobalt Group, une organisation criminelle liée à une longue liste de cybercriminels du secteur bancaire et financier.
Marap et AdvisorsBot ont été créés pour cibler l'ensemble du système cible à des fins de défense et cartographier le réseau, puis déterminer si le logiciel malveillant doit télécharger l'intégralité de la charge utile. Si le système cible répond au besoin (par exemple s'il a de la valeur), le logiciel malveillant passe à la deuxième phase de l'attaque.
Comme les autres versions de modules malveillants, Marap, AdvisorsBot et CobInt suivent un processus en trois étapes. La première étape est généralement un e-mail contenant une pièce jointe infectée par un logiciel malveillant dans le but d'exploitation initial. Si l’exploit est réalisé, le malware demande immédiatement la deuxième étape. La deuxième étape comporte un module de reconnaissance pour évaluer les mesures de sécurité et le paysage réseau du système cible. Si le malware indique que tout est en ordre, la dernière étape télécharge le troisième module, y compris la charge utile principale.
Mayhem est une version légèrement plus ancienne du module malveillant. Il est apparu pour la première fois en 2014. Cependant, Mayhem reste un exemple d’excellent malware modulaire. Le malware, découvert par les chercheurs en sécurité de Yandex, cible les serveurs Web Linux et Unix. Il s'installe via un script PHP malveillant.
Une fois installé, le script peut appeler plusieurs plugins qui déterminent l'utilisation optimale du malware.
Les plugins incluent un pirate de mot de passe par force brute ciblant les comptes FTP, WordPress et Joomla , un robot d'exploration Web pour rechercher d'autres serveurs vulnérables et un exploit Heartbleed OpenSLL.
La dernière variante du module malveillant présentée dans l'article d'aujourd'hui est également l'une des versions les plus complètes. C’est aussi l’un des plus inquiétants, pour plusieurs raisons.
Premièrement, DiamondFox est un botnet modulaire vendu sur divers forums clandestins. Les cybercriminels potentiels peuvent acheter le package botnet modulaire DiamondFox pour accéder à une gamme de capacités d'attaque avancées. Cet outil est mis à jour régulièrement et, comme tous les autres services en ligne, dispose d'un support client personnalisé. (Il a même un journal des modifications !)
Deuxième raison, le botnet modulaire DiamondFox est livré avec de nombreux plugins. Ces fonctionnalités sont activées et désactivées via le tableau de bord, comme il sied à une application pour maison intelligente. Les plugins incluent des outils d'espionnage appropriés, des outils de vol d'informations d'identification, des outils DDoS, des enregistreurs de frappe , des courriers indésirables et même un scanner de RAM.
Comment prévenir une attaque de Modular Malware ?
À l’heure actuelle, il n’existe aucun outil spécifique permettant de protéger les utilisateurs contre une variante de module malveillant. De plus, certaines variantes de modules malveillants ont une portée géographique limitée. Par exemple, Marap, AdvisorsBot et CobInt se trouvent principalement en Russie et dans les pays de la CEI.
Les chercheurs de Proofpoint ont montré que malgré les restrictions géographiques actuelles, si d'autres criminels découvrent une organisation criminelle établie utilisant des logiciels malveillants modulaires, ils suivront certainement leur exemple.
Il est important de savoir comment les modules malveillants atteignent votre système. La majorité des cas enregistrés utilisaient des pièces jointes d'e-mails infectées par des logiciels malveillants , contenant souvent des documents Microsoft Office avec des scripts VBA malveillants. Les attaquants utilisent cette méthode car il est facile d’envoyer des e-mails infectés par des logiciels malveillants à des millions de cibles potentielles. De plus, l’exploit initial est très petit et facilement déguisé en fichier Office normal.
Comme toujours, assurez-vous de maintenir votre système à jour et envisagez d’investir dans un logiciel antivirus de qualité. Ça en vaut la peine!
En savoir plus :
.Mogera crypte les fichiers sur votre ordinateur, mais ce n'est peut-être pas le seul dommage que ce ransomware vous cause. Le fichier de virus Ransomware .Mogera peut toujours se cacher quelque part sur votre PC.
Vous avez une touche de votre clavier Windows que vous n'utilisez jamais, mais parfois, vous appuyez quand même dessus par erreur. Ou peut-être que la clé est bloquée et ne fonctionne plus. Un moyen simple de résoudre ces problèmes clés consiste à désactiver complètement cette clé particulière.
En termes technologiques, l'homme du milieu (MITM) est une attaque interceptée par un tiers (hacker) pendant le processus de communication entre le serveur et l'utilisateur. Au lieu que les données soient partagées directement entre le serveur et l’utilisateur, les liens seront rompus par un autre facteur. Le pirate informatique modifiera ensuite le contenu ou ajoutera des logiciels malveillants à vous envoyer.
Un nouveau type de malware a un mode de fonctionnement similaire à WannaCry, profitant de la vulnérabilité MS17-010 pour supprimer Vietkey, Unikey ou Zalo sur l'ordinateur. Alors, comment prévenir ce type de malware ?
Le logiciel NirCmd est un outil de ligne de commande que vous pouvez utiliser dans l'invite de commande sur n'importe quelle plate-forme Windows.
Sur les systèmes d'exploitation Windows, en particulier Windows 10, installez souvent automatiquement les mises à jour de pilotes (mises à jour de pilotes) pour le matériel, qu'elles soient requises ou non. Si vous ne souhaitez pas mettre à jour automatiquement le pilote, vous pouvez empêcher Windows de mettre à jour automatiquement le pilote. Si vous utilisez l'édition Windows Pro ou Enterprise, vous pouvez utiliser l'éditeur de stratégie de groupe pour empêcher Windows de mettre automatiquement à jour les pilotes.
Parfois, vous remarquerez peut-être que la touche Tab ne fonctionne pas comme prévu. Cela peut être très ennuyeux, surtout si vous comptez sur la touche Tab pour les tâches quotidiennes.
Si votre carte graphique et les pilotes de votre ordinateur Windows 10 prennent en charge l'accélération matérielle, vous pouvez activer la fonctionnalité de planification GPU accélérée par le matériel pour réduire la latence et améliorer les performances.
Ce guide vous montrera comment activer ou désactiver la fonctionnalité d'interruption de l'indexeur utilisée pour ralentir l'indexation en cas d'activité utilisateur sous Windows 7, Windows 8 et Windows 10.
À partir de Windows 10 build 17661, la nouvelle fonctionnalité Screen Snip a été ajoutée à Windows 10 pour prendre et partager rapidement des captures d'écran.
