Posté le juillet 12, 2022 à 7:04
DES CHERCHEURS DÉCOUVRENT QUE DES HACKERS UTILISENT DE FAUSSES MISES À JOUR WINDOWS POUR DIFFUSER DES LOGICIELS MALVEILLANTS
Un rapport récent a révélé que des acteurs de menaces installent des logiciels malveillants sur des systèmes ciblés en utilisant de fausses mises à jour de Google et de Microsoft. Les chercheurs en sécurité de Trend Micro ont découvert que l’un des ransomwares « HavanaCrypt » était utilisé par ces acteurs de la menace.
Dans cet exemple, les hackers ont utilisé un ransomware dans la nature pour le déguiser en une application de mise à jour de logiciels Google. Le serveur C2 du logiciel malveillant est hébergé sur l’adresse IP d’hébergement Web de Microsoft. Selon les chercheurs, il s’agit d’un moyen d’hébergement inhabituel pour un ransomware.
Les chercheurs ont également déclaré que le ransomware HavanaCrypt utilise plusieurs techniques pour vérifier s’il fonctionne dans un environnement virtuel. Le logiciel malveillant utilise une fonction .Net connue sous le nom de « QueueUserWorkItem » pour accélérer son cryptage. Il utilise également un code de KeePass Password, un gestionnaire open-source, pendant le cryptage.
Selon Trend Micro, le logiciel malveillant pourrait avoir plus de capacités car il agit comme s’il était toujours en cours de développement. Il pourrait encore s’agir d’un travail en cours car il n’a pas commencé à intégrer une demande de rançon sur les systèmes infectés.
De plus en plus d’acteurs de menaces utilisent de fausses versions des mises à jour de Windows pour tromper les utilisateurs
HavanaCrypt est l’un des ransomwares en pleine expansion qui ont été distribués sous la forme de fausses mises à jour pour Google Chrome, Microsoft Exchange et Windows 10.
Plus tôt en mai, des chercheurs en sécurité ont identifié un ransomware nommé « Magniber » qui se déguise en mises à jour de Windows 10.
Les opérateurs cherchaient à tromper les utilisateurs pour qu’ils téléchargent le logiciel malveillant en le faisant passer pour une mise à jour de Microsoft Edge. Plus tôt cette année, les chercheurs de Malwarebytes ont découvert des hackers exploitant le Magnitude Exploit Kit.
À l’époque de la découverte, les chercheurs de Malwarebytes ont déclaré que les mises à jour Flash frauduleuses étaient généralement liées à des campagnes de logiciels malveillants sur le Web, jusqu’à ce que la technologie soit abandonnée par Adobe en raison de problèmes de sécurité.
Depuis lors, les acteurs de la menace ont eu recours à de fausses versions des logiciels régulièrement mis à jour pour lancer leurs attaques. Ils essaient de tromper les utilisateurs pour qu’ils téléchargent le logiciel malveillant, et de nombreux hackers ciblent les navigateurs.
Les acteurs de la menace ont rendu très facile la création de fausses mises à jour de logiciels. Ils utilisent généralement ces mises à jour pour distribuer toutes sortes de logiciels malveillants, notamment des chevaux de Troie, des voleurs d’informations et des ransomwares. Selon un chercheur et analyste d’Intel 471, les acteurs de menaces trompent généralement un utilisateur non technique en utilisant de telles méthodes, mais les intervenants en cas d’incident ou les analystes SOC peuvent ne pas être dupes.
Les experts en sécurité conseillent de recourir à des défenses multicouches
Le niveau des attaques contre les organisations et les particuliers augmente régulièrement. Par conséquent, les experts en sécurité ont toujours conseillé aux utilisateurs d’utiliser des systèmes de sécurité à plusieurs niveaux pour protéger leurs appareils et se défendre contre les attaques de ransomware.
Il s’agit notamment d’un contrôle fort des identités et des accès, du cryptage, de la segmentation du réseau pour réduire les mouvements latéraux, de capacités de surveillance du comportement des utilisateurs et des identités, ainsi que d’un contrôle et d’une réponse forts aux points terminaux et autres attaques. Les chercheurs ont également conseillé d’utiliser l’authentification multifactorielle pour rendre plus difficile l’accès complet aux systèmes par un acteur de menaces.
Étant donné que la plupart des attaques visent généralement les utilisateurs finaux, il est également important que les organisations déploient de solides mesures de sécurité pour sensibiliser les utilisateurs aux fraudes par ingénierie sociale et aux risques de phishing. Les chercheurs ont indiqué qu’une sensibilisation et une éducation accrues permettraient de réduire considérablement le nombre d’attaques contre les utilisateurs finaux.
La plupart des attaques sont conçues pour amener les utilisateurs finaux à suivre des liens vers des sites de collecte d’informations d’identification ou à télécharger des logiciels malveillants.
Le logiciel malveillant attaque les systèmes de quatre manières différentes
Les chercheurs ont souligné que HavanaCrypt est un logiciel malveillant .Net qui utilise un outil open-source appelé Obfuscar pour obscurcir son code. Une fois le logiciel malveillant déployé, il est d’abord utilisé pour déterminer si le registre « GoogleUpdate » est absent.
Après avoir marqué sa présence, le logiciel malveillant passe par quatre étapes pour déterminer si le système compromis se trouve dans un environnement virtualisé. Dans un premier temps, il recherche dans le système affecté des services comme Vmmouse et VMWare que les machines virtuelles utilisent généralement. Ensuite, il vérifie les fichiers utilisés pour les applications virtuelles avant de rechercher les noms spécifiques utilisés dans l’environnement virtuel. La quatrième étape consiste à comparer les préfixes de l’identifiant unique et les adresses MAC des systèmes infectés. L’identifiant unique est généralement utilisé dans les paramètres des machines virtuelles.
Si l’une des vérifications montre que le système compromis se trouve dans un environnement virtuel, le logiciel malveillant s’arrête automatiquement. Mais lorsqu’il n’est pas dans un environnement virtuel, il va plus loin pour sonder et gagner du terrain dans le système.
