La tactique monstrueuse de la clé secrète ou comment tuer votre sécurité

Une clé secrète

Cette technique oblige les éditeurs de logiciel antivirus à revoir leurs programmes. Cet article vient du site anglais The Hacker News.

Poweliks, un malware qui tue

Un malware n’est rien d’autre qu’un fichier malveillant stocké sur un système informatique infecté afin d’endommager le système ou voler des données sensibles ou effectuer d’autres activités malveillantes. Mais les chercheurs en sécurité ont découvert un nouveau malware sophistiqué qui infecte les systèmes et les données sans installer de fichier sur le système ciblé.

Les chercheurs ont nommé ce programme malveillant persistant « Poweliks », qui réside seulement dans le registre de l’ordinateur et n’est donc pas facilement détectable comme d’autres logiciels malveillants standards qui installent des fichiers sur le système infecté qui peuvent être lus par les logiciels antivirus ou les anti-malware.

Selon Paul RASCAGNERES, chercheur senior en sécurité, analyste malware chez la société de logiciel GData, suite à l’exécution du code étape après étape , l’ensemble des fonctionnalités est semblable à un des principes d’empilement d’approche « poupée russe » (Matryoshka).

[…]

La tactique monstrueuse de la clé secrète

Afin d’infecter un système, le malware se propage par e-mail dans un document Microsoft Word malveillant et après qu’il ait créé une clé de registre codée de démarrage automatique, il garde la clé de registre cachée pour rester indétectable, selon Paul RASCAGNERES.

Le malware crée alors et exécute un shellcode, avec une charge utile binaire sous Windows qui essaie de se connecter à des adresses IP codées en dur dans le but de recevoir de nouvelles commandes de l’attaquant.

Toutes les activités sont stockées dans le registre. Aucun fichier n’est jamais créé

a déclaré RASCAGNERES dans un billet de blog.

Donc les attaquants sont capables de contourner les techniques de balayage de fichier anti-malware classiques avec une telle approche et sont en mesure de mener à bien toute action désirée quand ils atteignent la couche la plus interne d’une machine, même après un redémarrage système.

Pour éviter les attaques de ce genre, les logiciels antivirus doivent intercepter le document Word initial avant qu’il ne soit exécuté (s’il en existe un), de préférence avant d’atteindre la boîte email du client.

Pour créer un mécanisme de démarrage automatique, le malware crée un registre, qui est une clé en caractère non-ASCII, et Windows Regedit ne peut pas lire ou ouvrir une entrée de clé non-ASCII.

Capacité du malware Poweliks

Le malware Poweliks est très dangereux et peut effectuer un certain nombre d’activités malveillantes. Le malware peut:

  • Télécharger une charge utile
  • Installer des logiciels espions sur l’ordinateur infecté pour récolter les renseignements personnels ou les documents d’affaires des utilisateurs
  • Installez les chevaux de Troie bancaires afin de voler de l’argent
  • Installer tout autre type de logiciel malveillant qui peut répondre aux besoins des pirates
  • être utilisé dans un réseau de zombies
  • générer des revenus énormes grâce à la fraude publicitaire.

Un outil de protection de Microsoft détourné par les pirates

L’astuce non-ASCII est un outil qui Microsoft a créé et utilise afin de protéger son code source de la copie ou l’altération, mais cette fonctionnalité a été crackée par un chercheur en sécurité.

Les chercheurs en sécurité et en logiciel malveillant sur le forum KernelMode.info ont analysé le mois dernier un échantillon contenu dans un document Microsoft Word qui a exploité la vulnérabilité décrite dans CVE-2012-0158, qui a affecté les produits Microsoft, y compris Microsoft Office.

Les auteurs du logiciel malveillant, les pirates, ont distribué le malware en pièce jointe de faux emails de la Poste du Canada et / ou USPS détenant soi-disant des informations de suivi.

Cette astuce empêche un grand nombre d’outils de traiter complètement cette entrée malveillante et il pourrait générer beaucoup de difficulté pour les équipes de réponse aux incidents pendant l’analyse. Le mécanisme peut être utilisé pour démarrer n’importe quel programme sur le système infecté, ce qui le rend très puissant.

a déclaré RASCAGNERES.

NDLR Ce billet est une traduction de l’article anglais POWELIKS — A Persistent Windows Malware Without Any Installer File du site « The Hacker News ».