Un pirate inconnu a utilisé une archive auto-extractible malveillante (Effets spéciaux) fichier dans le but d’établir un accès par porte dérobée persistant à l’environnement d’une victime, selon les nouvelles découvertes de CrowdStrike.
Les fichiers SFX sont capables d’extraire les données qu’ils contiennent sans avoir besoin d’un logiciel dédié pour afficher le contenu du fichier. Il y parvient en incluant un stub de décompresseur, un morceau de code qui est exécuté pour décompresser l’archive.
« Cependant, les fichiers d’archives SFX peuvent également contenir des fonctionnalités malveillantes cachées qui peuvent ne pas être immédiatement visibles pour le destinataire du fichier et pourraient être manquées par les seules détections basées sur la technologie », a déclaré Jai Minton, chercheur chez CrowdStrike. a dit.
Dans le cas étudié par la société de cybersécurité, des informations d’identification compromises sur un système ont été utilisées pour exécuter une application d’accessibilité Windows légitime appelée Utility Manager (utilman.exe), puis lancer un fichier SFX protégé par mot de passe.
Ceci, à son tour, est rendu possible par configuration d’un débogueur (un autre exécutable) dans le registre Windows à un programme spécifique (dans ce cas, utilman.exe) afin que le débogueur soit automatiquement lancé à chaque lancement du programme.
L’abus d’utilman.exe est également remarquable car il peut être lancé directement à partir de l’écran de connexion Windows en utilisant le Touche de logo Windows + raccourci clavier Upermettant potentiellement aux pirates de configurer des portes dérobées via la clé de registre Image File Execution Options.
« Une inspection plus approfondie de l’archive SFX a révélé qu’elle fonctionne comme une porte dérobée protégée par un mot de passe en abusant des options de configuration de WinRAR plutôt que de contenir des logiciels malveillants », a expliqué Minton.
Plus précisément, le fichier est conçu pour exécuter PowerShell (powershell.exe), l’invite de commande (cmd.exe) et le gestionnaire de tâches (taskmgr.exe) avec les privilèges NT AUTHORITY\SYSTEM en fournissant le bon mot de passe à l’archive.
« Ce type d’attaque est susceptible de ne pas être détecté par les logiciels antivirus traditionnels qui recherchent des logiciels malveillants à l’intérieur d’une archive (qui est souvent également protégée par un mot de passe) plutôt que le comportement d’un stub de décompresseur d’archive SFX », a ajouté Minton.
Apprenez à sécuriser le périmètre d’identité – Stratégies éprouvées
Améliorez la sécurité de votre entreprise grâce à notre prochain webinaire sur la cybersécurité dirigé par des experts : Explorez les stratégies de périmètre d’identité !
Ce n’est pas la première fois que des fichiers SFX sont utilisés dans des attaques comme moyen pour les attaquants de ne pas être détectés. En septembre 2022, Kaspersky a divulgué une campagne de logiciels malveillants qui utilisait des liens vers de tels fichiers protégés par mot de passe pour propager Voleur RedLine.
Un mois plus tard, le tristement célèbre botnet Emotet a été observé en train d’envoyer une archive SFX qui, une fois ouverte par un utilisateur, extrayait automatiquement une deuxième archive SFX protégée par mot de passe, saisissait le mot de passe et exécutait son contenu sans autre interaction de l’utilisateur à l’aide d’un script batch. .
Pour atténuer les menaces posées par ce vecteur d’attaque, il est recommandé d’analyser les archives SFX à l’aide d’un logiciel de désarchivage afin d’identifier tout script ou binaire potentiel configuré pour extraire et s’exécuter lors de l’exécution.