Posté le janvier 6, 2022 à 20:07
DES CHERCHEURS DÉCOUVRENT UN LOGICIEL VOLEUR D’INFORMATIONS QUI AFFECTE PLUS DE 2 000 UTILISATEURS
Des hackers ont été découverts en train d’exploiter la vérification des signatures numériques de Microsoft pour voler les informations d’identification des utilisateurs en installant le logiciel malveillant Zloader. Cette action a touché des victimes au Canada et aux États-Unis, mais le logiciel malveillant a été découvert dans plus de 100 pays.
Microsoft est conscient de la vulnérabilité
Les utilisateurs de Windows 10 ont également été informés qu’il existe plus de 60 vulnérabilités découvertes par les chercheurs.
Mais la faille particulière liée à la signature numérique de Microsoft est la CVE-2021-43890, connue comme une vulnérabilité d’usurpation qui peut être exploitée dans le programme d’installation de Windows AppX pour implanter des logiciels malveillants.
Microsoft a déclaré être au courant de la vulnérabilité et les chercheurs sont en train de remédier au problème.
Chad McNaughton, d’Automox, a indiqué que les entreprises ont également un rôle très important à jouer dans la correction de leurs systèmes lorsque l’exploit est actif.
Le logiciel malveillant Zloader a déjà été détecté auparavant
Ce n’est pas la première fois que l’on découvre que Zloader diffuse des logiciels malveillants. En effet, un précédent rapport de ZNET indiquait qu’il avait déjà diffusé des chevaux de Troie bancaires avant.
La campagne de vol d’informations par logiciel malveillant qui utilise Zloader utilisait initialement les ransomwares Conti et Ryuk et a déjà infecté plus de 2 000 victimes dans de nombreux pays.
Les chercheurs en sécurité de Check Point ont initialement identifié le groupe de hackers connu sous le nom de Malsmoke, considéré comme l’orchestrateur de la campagne de logiciels malveillants. Les chercheurs suivent la campagne de logiciels malveillants depuis novembre 2021.
Les chercheurs affirment que la campagne Zloader exploite « la vérification de la signature numérique de Microsoft pour voler les informations sensibles des utilisateurs ». Kobi Eisenkraft, chercheur en logiciels malveillants au CPR, ajoute que les gens devraient comprendre qu’ils ne peuvent pas faire entièrement confiance à la signature numérique d’un fichier.
Il ajoute que les acteurs de la menace ont initialement distribué Zloader par le biais de Google AdWords dans le cadre d’une campagne qui utilisait un système permettant de désactiver tous les modules Windows Defender sur les machines des victimes.
La campagne utilise également Java
Malsmoke a initialement utilisé Zloader pour lancer une attaque contre ceux qui visitent des sites pornographiques en novembre 2020. Selon les chercheurs, les hackers diffusent le cheval de Troie via de fausses mises à jour Java.
En outre, la récente campagne des acteurs de la menace utilise également Java dans son vecteur d’attaque. Elle commence ses activités infectieuses en diffusant un programme de gestion à distance qui imite une installation Java.
Selon les chercheurs, une fois le logiciel malveillant installé, l’acteur de la menace prend le contrôle total du système, ce qui lui permet de charger ou de télécharger des fichiers, ainsi que d’exécuter des scripts.
En fin de compte, les hackers tentent d’exécuter un fichier connu sous le nom de mshta.exe en utilisant le fichier appContast.dll comme paramètre pour implanter la charge utile. Le paramètre semble être un fichier de confiance de Microsoft, ce qui le rend un peu difficile à détecter ou à empêcher.
Les détails de la recherche révèlent également que les informations ajoutées peuvent télécharger et exécuter la charge utile Zloader, qui vole les informations et les identifiants des victimes.
Il a été conseillé aux utilisateurs d’appliquer les mesures de sécurité courantes
Eisenkraft a ajouté que les hackers sont devenus plus sophistiqués et ont déployé de grands efforts pour échapper à la sécurité. Cependant, Atera et Microsoft ont été informés de ces découvertes. Atera semble montrer un faux installateur Java, mais les hackers installent un agent qui se connecte aux appareils des utilisateurs.
Le CPR a conseillé aux utilisateurs de Microsoft d’appliquer les mises à jour du logiciel dès que possible pour éviter d’être victimes de l’attaque. Ils ont averti que les utilisateurs courent un risque plus élevé d’être attaqués car le correctif n’est pas appliqué par défaut.
En outre, les utilisateurs doivent toujours appliquer les contrôles de sécurité courants pour éviter d’installer sans le savoir des logiciels provenant de sources qui ne sont pas authentiques. La plupart des attaques proviennent de sites ou de programmes inconnus. Par conséquent, les utilisateurs doivent éviter d’ouvrir des pièces jointes inconnues ou de cliquer sur des liens inconnus qu’ils reçoivent par e-mail.
Mais les fichiers qui lancent Zloader et un autre qui cible Windows Defender sont ajoutés aux systèmes. Cela empêche les outils de cybersécurité d’émettre des alertes concernant le payloader, permettant l’exploitation de la vulnérabilité au sein du système de Microsoft.
Alors que Microsoft semblait s’occuper du problème en 2013, la société a décidé de faire du correctif un futur opt-in en 2014. Cela signifie que la fonction de protection de sécurité ne fonctionne pas par défaut et que les utilisateurs doivent l’activer manuellement.
Le géant technologique a déclaré que les utilisateurs qui ont appliqué la mise à jour et activé la configuration indiquée dans l’avis de sécurité bénéficieront d’une protection complète contre le logiciel malveillant.
Malgré cela, les hackers ne pourront pas exploiter directement le bug, car ils devront convaincre les victimes d’exécuter un fichier PE spécialement conçu. En outre, la machine de l’utilisateur devra être compromise pour exploiter la vulnérabilité.
