Posté le novembre 29, 2019 à 14:18

LES CHERCHEURS EN SÉCURITÉ METTENT EN GARDE CONTRE LES LOGICIELS MALVEILLANTS QUI CIBLENT LES COMPTES VPN

Les chercheurs ont détecté un nouveau logiciel malveillant qui cible les comptes VPN. Les utilisateurs de VPN ont été avertis que ce logiciel malveillant piratait leurs comptes VPN. Le logiciel malveillant, Trickbolt, a été détecté pour la première fois en 2016. Il vole les identifiants de connexion, les informations système et d’autres données très importantes des machines Windows vulnérables.

Mais ce mois-ci, certains chercheurs ont découvert la nouvelle dimension de fonctionnement du logiciel malveillant. Palo Alto Networks a commencé à surveiller les logiciels malveillants et a détecté que Trickbot se mettait à cibler les données des applications OpenVPN et openSSH.

Lorsque Trickbot pirate un hôte Windows, il exécute diverses fonctions en téléchargeant différents modules à partir des fichiers host de Windows. Cependant, le logiciel malveillant stocke les modules dans le dossier du répertoire AppData / Roaming sous forme de fichiers binaires cryptés. Plus tard, ils sont exécutés à partir de la mémoire système et décodés en tant que fichiers DLL.

OpenVPN et OpenSSH ciblés

Le mois dernier, des chercheurs de Palo Alto Networks surveillaient les activités de Trickbot lorsqu’ils ont constaté des activités irrégulières du logiciel malveillant. Ils ont remarqué qu’il est passé du vol habituel des mots de passe de connexion au vol de données dans les applications OpenSSL et OpenVPN.  Les experts en sécurité ont commencé à accorder toute leur attention et ont découvert d’autres irrégularités dans le logiciel malveillant.

L’équipe de recherche a décidé d’utiliser un appareil Windows 7 64 bits compromis. Ils ont découvert que le logiciel malveillant Trickbot utilise une clé de saisie de mots de passe appelée pwgrab64. Il est utilisé pour obtenir des informations de connexion sensibles stockées dans les fichiers host cache du système. Il est également capable d’obtenir des informations via d’autres applications en dehors des fichiers en cache.

Le capteur de mots de passe pwgrab64 n’est pas un nouveau module. Les chercheurs ont déjà eu connaissance de ses activités sur certains systèmes et dispositifs infectés depuis l’année dernière.

Cependant, ses méthodes opérationnelles ont changé parce qu’il se concentrait auparavant sur le vol des mots de passe des applications et des navigateurs Web. Maintenant, il cible les comptes VPN, car cela pourrait avoir des impacts plus dommageables sur les comptes.

Trickbot est amélioré pour des attaques plus sévères

Plus tôt cette année, en février, pwgrab64 a été redirigée vers les informations et les identifiants utilisés pour authentifier les serveurs qui utilisent RDP, PuTTy et VNC. Maintenant, il a été redirigé et remanié.

Les chercheurs surveillent de près la mise à jour fréquente de la carte de saisie de mots de passe afin de détecter tout autre changement dans son fonctionnement. Les chercheurs alertent les utilisateurs de VPN pour qu’ils soient informés de cette nouvelle mise à jour et du module opérationnel du logiciel malveillant.

Cette fois, il utilise une requête HTTP POST pour renvoyer les mots de passe OpenVPN et les clés privées OpenSSL volés aux serveurs de commande et de contrôle du logiciel malveillant. Pour simplifier, le logiciel malveillant a été reprogrammé pour voler les données de connexion des utilisateurs VPN.

Les chercheurs de Palo Alto disent qu’il n’y a pas encore de quoi s’inquiéter

Pour ceux qui craignent de perdre leurs données sensibles VPN, les chercheurs ont fourni un certain niveau d’assurance.  Selon la surveillance de sécurité de Palo Alto, Trickbot ne récupère pas encore les détails réels des fichiers hosts.

Ils croient que ceux qui envoient ces logiciels malveillants ne les ont pas encore lancés parce qu’ils se pourraient qu’ils le testent encore. Mais les chercheurs affirment qu’il cible toujours les dossiers et d’autres renseignements qu’il visait avant la récente mise à jour.

Le logiciel malveillant a une vaste portée et est capable de paralyser presque toutes les informations disponibles dans n’importe quel VPN. C’est un logiciel malveillant très robuste qui pourrait faire beaucoup de mal lorsque les pirates finissent par le libérer. Le logiciel malveillant peut attaquer toutes sortes de cibles, depuis les cookies du navigateur jusqu’à Verizon en passant par les codes PIN Spring et T-Mobile.

Il est donc important d’être conscient et vigilant sur les activités de ce logiciel malveillant, selon les chercheurs. Les utilisateurs de VPN doivent être vigilants, car les hackers qui se cachent derrière le logiciel malveillant pourraient le relâcher chaque fois qu’ils ont terminé leur test.