Les acteurs de la menace utilisent de plus en plus de fausses mises à jour logicielles Microsoft et Google pour tenter de dissimuler des logiciels malveillants sur les systèmes cibles.

Le dernier exemple en date est « HavanaCrypt », un nouvel outil de ransomware que les chercheurs de Trend Micro ont récemment découvert dans la nature déguisé en application google Software Update. Le serveur de commande et de contrôle (C2) du malware est hébergé sur une adresse IP d’hébergement Web Microsoft, ce qui est quelque peu rare pour les ransomwares, selon Trend Micro.

Selon les chercheurs, il convient également de noter les nombreuses techniques de HavanaCrypt pour vérifier s’il fonctionne dans un environnement virtuel; l’utilisation par le logiciel malveillant du code du gestionnaire de clés open source KeePass Password Safe pendant le cryptage; et son utilisation d’une fonction .Net appelée « QueueUserWorkItem » pour accélérer le cryptage. Trend Micro note que le malware est probablement un travail en cours parce qu’il ne dépose pas de note de rançon sur les systèmes infectés.

HavanaCrypt fait partie d’un nombre croissant d’outils de ransomware et d’autres logiciels malveillants qui, ces derniers mois, ont été distribués sous la forme de fausses mises à jour pour Windows 10, Microsoft Exchange et Google Chrome. En mai, des chercheurs en sécurité ont repéré un ransomware surnommé « Magniber » faisant le tour déguisé en mises à jour Windows 10. Plus tôt cette année, des chercheurs de Malwarebytes ont observé les opérateurs du magnitude Exploit Kit essayant de tromper les utilisateurs en le téléchargeant en habillant le malware comme un Mise à jour de Microsoft Edge.

Comme Malwarebytes l’a noté à l’époque, les fausses mises à jour Flash étaient un élément incontournable des campagnes de logiciels malveillants basées sur le Web jusqu’à ce qu’Adobe retire finalement la technologie pour des raisons de sécurité. Depuis lors, les attaquants utilisent de fausses versions d’autres produits logiciels fréquemment mis à jour pour tenter d’inciter les utilisateurs à télécharger leurs logiciels malveillants, les navigateurs étant l’un des plus fréquemment abusés.

Publicité

La création de fausses mises à jour logicielles est triviale pour les attaquants, ils ont donc tendance à les utiliser pour distribuer toutes les classes de logiciels malveillants, y compris les ransomwares, les voleurs d’informations et les chevaux de Troie, explique un analyste d’Intel 471 qui a requis l’anonymat. « Un utilisateur non technique peut être trompé par de telles techniques, mais les analystes SOC ou les intervenants en cas d’incident ne seront probablement pas dupes », explique l’analyste.

Les experts en sécurité notent depuis longtemps la nécessité pour les organisations de mettre en place des défenses multicouches pour se défendre contre les ransomwares et autres menaces. Cela inclut des contrôles pour la détection et la réponse des points de terminaison, des capacités de surveillance du comportement des utilisateurs et des entités, une segmentation du réseau pour minimiser les dommages et limiter les mouvements latéraux, le cryptage et un contrôle d’identité et d’accès fort, y compris l’authentification multifacteur.

Étant donné que les adversaires ciblent souvent les utilisateurs finaux, il est également essentiel que les organisations aient mis en place des pratiques solides pour éduquer les utilisateurs sur les risques de phishing et les escroqueries d’ingénierie sociale conçues pour les amener à télécharger des logiciels malveillants ou à suivre des liens vers des sites de collecte d’informations d’identification.

Comment fonctionne HavanaCrypt

HavanaCrypt est un malware .Net qui utilise un outil open-source appelé Obfuscar pour obscurcir son code. Une fois déployé sur un système, HavanaCrypt vérifie d’abord si le registre « GoogleUpdate » est présent sur le système et ne poursuit sa routine que si le logiciel malveillant détermine que le registre n’est pas présent.

Le logiciel malveillant passe ensuite par un processus en quatre étapes pour déterminer si la machine infectée se trouve dans un environnement virtualisé. Tout d’abord, il vérifie le système pour les services tels que VMWare Tools et vmmouse que les machines virtuelles utilisent généralement. Ensuite, il recherche les fichiers liés aux applications virtuelles, suivi d’une vérification des noms de fichiers spécifiques utilisés dans les environnements virtuels. Enfin, il compare l’adresse MAC des systèmes infectés avec les préfixes d’identificateur uniques généralement utilisés dans les paramètres de la machine virtuelle. Si l’une des vérifications montre que la machine infectée se trouve dans un environnement virtuel, le logiciel malveillant se termine de lui-même, a déclaré Trend Micro.

Une fois que HavanaCrypt détermine qu’il ne s’exécute pas dans un environnement virtuel, le logiciel malveillant récupère et exécute un fichier de commandes à partir d’un serveur C2 hébergé sur un service d’hébergement Web Microsoft légitime. Le fichier de commandes contient des commandes permettant de configurer Windows Defender de manière à autoriser les menaces détectées. Le malware arrête également une longue liste de processus, dont beaucoup sont liés à des applications de base de données telles que SQL et MySQL ou à des applications de bureau telles que Microsoft Office.

Les prochaines étapes de HavanaCrypt comprennent la suppression des clichés instantanés sur les systèmes infectés, la suppression des fonctions de restauration des données et la collecte d’informations système telles que le nombre de processeurs du système, le type de processeur, le numéro de produit et la version du BIOS. Le logiciel malveillant utilise la fonction QueueUserWorkItem et le code from KeePass Password Safe dans le cadre du processus de cryptage.

« QueueUserWorkItem est une technique standard pour créer des pools de threads », explique l’analyste d’Intel 471. « L’utilisation de pools de threads accélérera le cryptage des fichiers sur la machine victime. »

Avec KeePass, l’auteur du ransomware a copié le code de l’outil de gestion des mots de passe et a utilisé ce code dans son projet de ransomware. « Le code copié est utilisé pour générer des clés de chiffrement pseudo-aléatoires », note l’analyste. « Si les clés de chiffrement étaient générées de manière prévisible et reproductible, il pourrait être possible pour les chercheurs de logiciels malveillants de développer des outils de décryptage. »

L’utilisation par l’attaquant d’un service d’hébergement Microsoft pour le serveur C2 met en évidence la tendance plus large des attaquants à cacher l’infrastructure malveillante dans des services légitimes pour échapper à la détection. « Il y a beaucoup de méchanceté hébergée dans des environnements cloud aujourd’hui, que ce soit Amazon, Google ou Microsoft et bien d’autres », explique John Bambenek, chasseur de menaces principal chez Netenrich. « La nature hautement transitoire des environnements rend les systèmes de réputation inutiles. »

Rate this post
Publicité
Article précédentIl est temps de mettre à jour votre téléviseur Samsung ! Les acheteurs Amazon bénéficient de 50% de réduction aujourd’hui
Article suivant4 façons de corriger le contenu crypté pour sécuriser les données grisées dans Windows 10
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici