Certains articles de veille peuvent faire l'objet de traduction automatique.
Les cybercriminels ne reculent devant rien pour exploiter toutes les occasions de s’attaquer aux internautes.
Même la propagation désastreuse du SRAS-COV-II (le virus), qui provoque le COVID-19 (la maladie), devient une occasion pour eux de diffuser également des logiciels malveillants ou de lancer des cyberattaques.
Reason Cybersecurity a récemment publié une rapport d’analyse des menaces détaillant une nouvelle attaque qui tire parti de la soif accrue d’informations des internautes sur le nouveau coronavirus qui fait des ravages dans le monde entier.
L’attaque par logiciel malveillant vise spécifiquement les personnes qui recherchent des présentations cartographiques de la propagation du COVID-19 sur Internet, et les incite à télécharger et à exécuter une application malveillante qui, en première ligne, affiche une carte chargée à partir d’une source en ligne légitime mais qui, en arrière-plan, compromet l’ordinateur.
Une nouvelle menace avec un ancien composant de logiciel malveillant
La dernière menace, conçue pour voler des informations à des victimes involontaires, a été présentée pour la première fois à la Commission européenne. repéré par MalwareHunterTeam la semaine dernière et a maintenant été analysé par Shai Alfasi, un chercheur en cybersécurité chez Reason Labs.
Il s’agit d’un malware identifié comme AZORult, un logiciel malveillant voleur d’informations découvert en 2016. Le logiciel malveillant AZORult collecte les informations stockées dans les navigateurs web, notamment les cookies, les historiques de navigation, les identifiants, les mots de passe et même les clés de crypto-monnaies.
Avec ces données tirées des navigateurs, il est possible pour les cybercriminels de voler des numéros de cartes de crédit, des identifiants de connexion et diverses autres informations sensibles.
AZORult serait discuté sur des forums clandestins russes comme un outil permettant de collecter des données sensibles sur les ordinateurs. Il est livré avec une variante capable de générer un compte administrateur caché dans les ordinateurs infectés pour permettre les connexions via le protocole de bureau à distance (RDP).
Analyse d’un échantillon
Alfasi fournit des détails techniques sur l’étude du logiciel malveillantqui est intégré dans le fichier, généralement appelé Corona-virus-Map.com.exe. Il s’agit d’un petit fichier Win32 EXE dont la taille de la charge utile est d’environ 3,26 Mo.
Un double-clic sur le fichier ouvre une fenêtre qui présente diverses informations sur la propagation de COVID-19. La pièce maîtresse est une » carte des infections » similaire à celle hébergée par Université Johns Hopkins, a source légitime en ligne pour visualiser et suivre en temps réel les cas de coronavirus signalés.
Le nombre de cas confirmés dans différents pays est présenté à gauche, tandis que les statistiques sur les décès et les guérisons se trouvent à droite. La fenêtre semble être interactive, avec des onglets pour diverses autres informations connexes et des liens vers des sources.
Elle présente une interface graphique convaincante que peu de gens soupçonneraient d’être nuisible. Les informations présentées ne sont pas un amalgame de données aléatoires, mais des informations réelles sur le COVID-19 provenant du site Web de Johns Hopkins.
A noter que le carte originale du coronavirus hébergée en ligne par l’Université Johns Hopkins ou ArcGIS ne sont pas infectés ou rétrocédés de quelque manière que ce soit et peuvent être visités en toute sécurité.
Le logiciel malveillant utilise plusieurs couches d’empaquetage ainsi qu’une technique multi-sous-processus afin de rendre sa détection et son analyse difficiles pour les chercheurs. En outre, il utilise un planificateur de tâches pour pouvoir continuer à fonctionner.
Signes d’infection
L’exécution du fichier Corona-virus-Map.com.exe entraîne la création de doublons du fichier Corona-virus-Map.com.exe et de plusieurs fichiers Corona.exe, Bin.exe, Build.exe et Windows.Globalization.Fontgroups.exe.
De plus, le malware modifie une poignée de registres sous ZoneMap et LanguageList. Plusieurs mutex sont également créés.
L’exécution du malware active les processus suivants : Bin.exe, Windows.Globalization.Fontgroups.exe et Corona-virus-Map.com.exe. Ceux-ci tentent de se connecter à plusieurs URL.
Ces processus et URLs ne sont qu’un échantillon de ce que l’attaque implique. De nombreux autres fichiers sont générés et des processus sont lancés. Ils créent diverses activités de communication réseau, les logiciels malveillants tentant de recueillir différents types d’informations.
Comment l’attaque vole des informations
Alfasi a présenté un compte rendu détaillé de la manière dont il a disséqué le malware dans un article publié sur le blog de Reason Security. Il a notamment analysé le processus Bin.exe avec Ollydbg. Ainsi, le processus a écrit quelques bibliothèques de liens dynamiques (DLL). La DLL « nss3.dll » a attiré son attention car elle est connue de différents acteurs.
Alfasi a observé un chargement statique des API associées à nss3.dll. Ces API semblaient faciliter le décryptage des mots de passe enregistrés ainsi que la génération de données de sortie.
Il s’agit d’une approche courante utilisée par les voleurs de données. Relativement simple, elle se contente de capturer les données de connexion du navigateur Web infecté et de les déplacer dans le dossier C:WindowsTemp. C’est l’une des caractéristiques d’une attaque AZORult, dans laquelle le malware extrait des données, génère un identifiant unique de l’ordinateur infecté, applique un cryptage XOR, puis initie une communication C2.
Le logiciel malveillant effectue des appels spécifiques pour tenter de voler les données de connexion de comptes en ligne courants tels que Telegram et Steam.
Il faut souligner que l’exécution du malware est la seule étape nécessaire pour qu’il puisse procéder au vol d’informations. Les victimes n’ont pas besoin d’interagir avec la fenêtre ou d’y saisir des informations sensibles.
Nettoyage et prévention
Cela peut sembler promotionnel, mais Alfasi suggère le logiciel Reason Antivirus comme la solution pour réparer les appareils infectés et prévenir de nouvelles attaques. Il est affilié à Reason Security, après tout. Reason est le premier à avoir découvert et examiné cette nouvelle menace, et peut donc la traiter efficacement.
D’autres entreprises de sécurité ont probablement déjà pris connaissance de cette menace, puisque Reason l’a rendue publique le 9 mars. Leurs antivirus ou outils de protection contre les logiciels malveillants auront été mis à jour au moment de la publication.
Ils peuvent donc être tout aussi capables de détecter et de prévenir cette nouvelle menace.
La clé pour supprimer et arrêter le malware opportuniste « coronavirus map » est de disposer du bon système de protection contre les malwares. Il sera difficile de le détecter manuellement, et encore plus de supprimer l’infection sans le bon outil logiciel.
Il ne suffit peut-être pas d’être prudent lors du téléchargement et de l’exécution de fichiers sur Internet, car beaucoup ont tendance à être trop impatients d’accéder aux informations sur le nouveau coronavirus.
La dispersion du COVID-19 au niveau pandémique mérite la plus grande prudence, non seulement hors ligne (pour éviter de contracter la maladie) mais aussi en ligne. Les cyber-attaquants exploitent la popularité des ressources liées au coronavirus sur le web, et de nombreuses personnes risquent d’être la proie de ces attaques.
Voir aussi :
Poster un commentaire