Posté le juin 20, 2021 à 18:54
LES CHERCHEURS DE SOPHOS DÉTECTENT UN LOGICIEL MALVEILLANT RARE QUI BLOQUE LES SERVICES DE PIRATAGE
Les SophosLabs ont détecté un logiciel malveillant unique parmi les autres types de logiciels malveillants qui ont été découverts auparavant. Le logiciel malveillant ne cherche pas à obtenir le mot de passe et les données personnelles de l’appareil affecté. Il est intéressant de noter qu’il empêche l’appareil de l’utilisateur d’accéder à divers sites Web qui offrent des services de piratage. Il modifie le fichier HOSTS de l’appareil de l’utilisateur.
En outre, le logiciel malveillant a téléchargé et transmis une deuxième charge utile de logiciel malveillant baptisée ProcessHacker.jpg.
Le logiciel malveillant empêche les sites Web d’accéder à une adresse Web
L’un des moyens les plus efficaces dont disposent les acteurs malveillants pour empêcher un utilisateur d’accéder à une adresse Web consiste à modifier le fichier HOSTS. Cette méthode est toutefois astucieuse car elle nécessite un logiciel malveillant dont la persistance est nulle. Tout utilisateur peut soustraire les entrées après avoir ajouté le fichier HOSTS, et elles resteront dans cet état.
Les SophosLabs n’ont pas entièrement identifié la provenance de ce logiciel malveillant. Cependant, son objectif est d’empêcher les gens de visiter les sites de piratage de logiciels pendant une durée temporaire. Il identifie également le nom du logiciel piraté que l’utilisateur voulait utiliser, l’envoie et lance une charge utile secondaire.
Le logiciel malveillant se fait passer pour un jeu populaire
Le logiciel malveillant se déguise également en une fausse copie d’un jeu piraté. Selon l’analyse de SophosLabs, « une partie au moins des logiciels malveillants, déguisés en copies pirates d’une grande variété de logiciels, était hébergée sur le service de chat de jeux Discord. D’autres copies distribuées par BitTorrent portaient également le nom de jeux populaires, d’outils de productivité et même de produits de sécurité, accompagnés de fichiers supplémentaires (…) qui donnent l’impression de provenir d’un compte de partage de fichiers bien connu sur ThePirateBay. »
Dès que le logiciel malveillant a été téléchargé, il envoie deux requêtes HTTP GET à un domaine qui est maintenant inactif. Après la première requête, une deuxième charge utile est lancée, connue sous le nom de « ProcessHacker.jpg ». Cette seconde charge utile contient un interrupteur qui empêche le logiciel malveillant de s’exécuter sur divers fichiers.
Selon le rapport de SophosLabs, la deuxième requête met en œuvre une « chaîne de requête pour envoyer le nom de fichier de l’exécutable qui a été exécuté aux opérateurs du site Web « . Cette requête permet aux acteurs de la menace de découvrir les fichiers que les utilisateurs espéraient pirater. Cependant, l’analyse précise que le serveur sur lequel les requêtes HTTP GET ont été transférées ne répondait plus et ne disposait pas d’enregistrement DNS.
En outre, la plupart des exécutables des logiciels malveillants étaient signés numériquement par un faux signataire. Cela devait l’aider à contourner les contrôles visant à déterminer si le fichier était signé et donc à échapper à tout examen. Le nom du signataire des fichiers contenait 18 caractères avec des lettres majuscules. La validité des certificats sous chaque fichier doit expirer le 31 décembre 2039.
Le nom de fichier du logiciel malveillant a également été configuré car il ne correspond pas à ce que les feuilles de propriétés des exécutables du logiciel malveillant ont indiqué. La majorité des fichiers contenaient des propriétés qui les identifiaient comme des paquets d’installation pour des jeux sous licence, mais les fichiers contenaient des noms différents dans le champ de description. Les fichiers étaient nommés « BitLocker Drive Encryption » ou « Microsoft Office Multi-Msi ActiveDirectory Deployment Tool ».
Sophos note que la disparité entre les noms de fichiers et les feuilles de propriétés n’a pas semblé inquiéter les créateurs du logiciel malveillant.
Comment fonctionne le logiciel malveillant ?
Selon le rapport, le processus d’exécution du logiciel malveillant sur l’appareil de l’utilisateur est bref. Lorsqu’un utilisateur double-clique sur l’exécutable, un message d’erreur s’affiche : « Le programme ne peut pas démarrer car MSVCR100.dll est manquant sur votre ordinateur. Essayez de réinstaller le programme pour résoudre ce problème. »
Lorsque le logiciel malveillant est exécuté, il effectue plusieurs opérations. Tout d’abord, il vérifie s’il peut créer une connexion réseau sortante et connecter une URI sur le domaine 1flchire[.]com.
Sophos a créé des produits pour points de terminaison qui identifient le logiciel malveillant à l’aide de son packer d’exécution unique, similaire à celui utilisé par un autre logiciel malveillant connu sous le nom de Qbot.
En outre, le rapport donne aux utilisateurs des indications sur la manière dont ils peuvent nettoyer le logiciel malveillant de leurs appareils s’ils ont déjà été infectés. Pour ce faire, l’utilisateur doit exécuter une copie de Notepad Elevated et modifier le fichier.
L’utilisateur doit exécuter la copie du Bloc-notes en tant qu’administrateur et modifier les détails du fichier dans c:\Windows\System32\Drivers\etc\hosts. Ensuite, l’utilisateur doit supprimer toutes les lignes qui commencent par « 127.0.0.1 » et faire référence aux sites qu’il souhaite utiliser, comme ThePirateBay et d’autres sites Web.
