DES HACKERS EXPLOITENT MICROSOFT BUILD ENGINE POUR VOLER DES INFORMATIONS SENSIBLES

Posté le mai 15, 2021 à 17:33

DES HACKERS EXPLOITENT MICROSOFT BUILD ENGINE POUR VOLER DES INFORMATIONS SENSIBLES

Des acteurs malveillants exploitent Microsoft Build Engine (MSBuild) pour diffuser des chevaux de Troie d’accès à distance sans fichier. Le logiciel malveillant vole des mots de passe sur des systèmes Windows compromis.

Selon les chercheurs en cybersécurité d’Anomali, le logiciel malveillant a été lancé le mois dernier. Les fichiers Build malveillants sont dissimulés à l’aide de shellcode et d’exécutables afin de créer une porte dérobée qui permettra aux hackers de contrôler le système ciblé et de voler des données personnelles.

MSBuild est un outil open-source de Build lancé par Microsoft pour .NET et Visual Studio. L’outil permet la compilation des codes sources, le déploiement, le conditionnement et les tests.

Attaque sophistiquée

Les acteurs malveillants utilisent MSBuild pour attaquer un système sans utiliser de fichiers et sans être détectés. Pour éviter d’être détecté, le logiciel malveillant a utilisé une application officielle pour faire passer le code d’attaque dans la mémoire de l’appareil affecté, ne laissant aucune trace d’une quelconque compromission. Une stratégie aussi sophistiquée montre que les hackers se donnent beaucoup de mal pour rester sous le radar.

Au moment de la publication, seuls deux organismes de sécurité ont détecté le logiciel malveillant MSBuild (vwnfmo.lnk) comme l’un des fichiers. Le second logiciel malveillant surnommé (72214c84e2.proj) reste non détecté par tous les logiciels anti logiciels malveillants. Cependant, la plupart des échantillons analysés par Anomali ont révélé que les systèmes étaient équipés de la RAT Remcos, tandis que d’autres ont livré la RAT Quasar et RedLine Stealer.

Lorsque Remcos (logiciel de contrôle et de surveillance à distance) est installé sur un appareil, il accorde à un acteur le contrôle total de l’adversaire à distance. Parmi les fonctionnalités de ce logiciel malveillant figurent l’enregistrement des frappes au clavier, l’exécution de commandes arbitraires, l’enregistrement des microphones et des webcams.

D’un autre côté, Quasar est un RAT open-source basé sur .NET qui vole des mots de passe, active l’enregistrement des touches, et d’autres choses encore. Comme son nom l’indique, Redline Stealer vole les informations d’identification des utilisateurs à partir de leurs navigateurs, de leurs VPN, de leurs plateformes de messagerie et vole même les portefeuilles des utilisateurs qui traitent des crypto-monnaies.

« Les acteurs malveillants à l’origine de cette campagne ont utilisé la diffusion sans fichier comme moyen de contourner les mesures de sécurité, et cette technique est utilisée par les acteurs pour une variété d’objectifs et de motivations », ont déclaré les chercheurs d’Anomali Tara Gould et Gage Mele. « Cette campagne met en évidence le fait que la confiance dans les logiciels antivirus seuls est insuffisante pour la cyberdéfense, et que l’utilisation de code légitime pour cacher les logiciels malveillants de la technologie antivirus est efficace et se développe de manière exponentielle », a expliqué Anomali.

Augmentation des attaques de logiciels malveillants

Ce n’est pas la première fois que des acteurs malveillants utilisent une approche sophistiquée pour lancer une attaque non détectée. Un rapport publié par Malwarebytes quelques jours auparavant indiquait que Magecart, un groupe de hackers, utilisait une approche similaire pour voler des informations sensibles.

Ce groupe de hackers est connu pour mener des attaques furtives qui peuvent rester longtemps sous le radar sans être détectées par les moteurs anti-malware. Selon Malwarebytes, les attaquants exploitaient des portes dérobées PHP pour accéder à distance à des serveurs et lancer ensuite un code JavaScript vers des plateformes de commerce électronique.

Magecart a utilisé cette attaque pour cibler les paniers d’achat en ligne par le biais d’un processus appelé « formjacking ». Un code d’écrémage déguisé en code JavaScript est utilisé par les hackers pour collecter les données des cartes de crédit en temps réel. Les données sont ensuite transférées vers un serveur distant.

Contrairement à d’autres attaques similaires qui sont lancées sur le serveur client, les acteurs malveillants l’injectent du côté du commerçant. Ces logiciels malveillants n’étant pas détectés par les logiciels anti-malware, les entreprises doivent revenir aux principes de base de la sécurité de la navigation sur Internet. Les fournisseurs de cybersécurité doivent également trouver des moyens plus sophistiqués pour faire face à ces attaques.

Summary
DES HACKERS EXPLOITENT MICROSOFT BUILD ENGINE POUR VOLER DES INFORMATIONS SENSIBLES
Article Name
DES HACKERS EXPLOITENT MICROSOFT BUILD ENGINE POUR VOLER DES INFORMATIONS SENSIBLES
Description
Des acteurs malveillants exploitent Microsoft Build Engine (MSBuild) pour diffuser des chevaux de Troie d'accès à distance sans fichier.
Author
Publisher Name
Koddos
Publisher Logo

Partagez :

Actualités connexes :

Newsletter

Recevez les dernières nouvelles
dans votre boîte aux lettres!

YOUTUBE

En savoir plus sur Blog KoDDoS

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Continue reading