Posté le juin 4, 2020 à 18:32
UN CHEVAL DE TROIE BANCAIRE PREND LE CONTRÔLE DES APPLICATIONS FIABLES POUR PROPAGER DES LOGICIELS MALVEILLANTS
Les chercheurs de Bitdefender Ruben Andrei et Janos Gergo ont découvert un nouveau type de cheval de Troie bancaire qui attaque les systèmes informatiques utilisés par les individus et les organisations. Ce cheval de Troie, connu sous le nom de « metamorfo », utilise de véritables composants logiciels pour pénétrer dans les ordinateurs.
Le cheval de Troie Metamorfo fait partie du groupe de Trojan qui a été en activité depuis 2018. Le cheval de Troie est utilisé pour cibler les systèmes informatiques au Brésil et est envoyé dans des pièces jointes de spam à travers des fichiers Office contenant des macros.
Les chercheurs de Bitdefender ont révélé que le logiciel malveillant est très puissant et dangereux dans ses opérations. Le principal objectif du logiciel malveillant est de réaliser un vol informatique des données personnelles et des informations bancaires de l’utilisateur et de les transférer au serveur C2.
Metamorfo utilise une méthode très efficace
Actuellement, les chercheurs ont déclaré que Metamorfo utilise une technique très sophistiquée, connue sous le nom de « DDL hijacking », pour se soustraire à tout contrôle d’un ordinateur hôte ou d’une entreprise de cybersécurité. Après avoir dissimulé sa présence dans le système, elle tente d’améliorer ses privilèges sur le système visé.
Les chercheurs ont également révélé que le logiciel malveillant avait essayé de télécharger d’autres fichiers à partir du serveur C2. Avec cette activité récente, le logiciel malveillant peut télécharger une version mise à jour de lui-même avec un jeu de commandes plus large.
Qu’est-ce que le DLL hijacking?
Le piratage de DLL est une méthode utilisée par un acteur pour forcer des applications à exécuter des codes tiers. Cela se produit en déposant une bibliothèque malveillante sur le chemin de recherche ou lorsqu’ils échangent une bibliothèque de code malveillant à la place de l’authentique.
Dans ce cas, l’attaquant peut faire exécuter un fichier malveillant lorsqu’il peut s’introduire sur la machine de la victime. Le fichier peut être exécuté automatiquement lorsque l’utilisateur exécute une véritable application vulnérable au DLL hijacking.
Les hackers remplacent les vrais codes par des codes malveillants
Dans le monde réel, les attaquants peuvent rendre des applications légitimes vulnérables et les placer à côté du fichier de DLL hijacking, dans lequel l’application ciblée finit par se charger. Parfois, l’utilisateur peut aider à exécuter le fichier malveillant sans qu’il s’en rende compte.
En effet, l’utilisateur pensera toujours qu’il exécute le code authentique alors qu’il a été remplacé par un code infesté de logiciels malveillants. Les hackers remplacent la DLL d’origine par celle contenant le code malveillant. Par conséquent, l’application chargera et exécutera le code du hacker au lieu du code légitime.
L’attaque a touché les grands fournisseurs de logiciels
L’équipe de sécurité de Bitdefender a déclaré que l’attaque du cheval de Troie a touché 5 composants logiciels différents des principaux fournisseurs de logiciels. Ces fournisseurs comprennent NVIDIA, Steam, Damon Tools, Avast, AVG et Avira.
Certains des composants des produits ne vérifient pas l’authenticité des fichiers mais chargent quand même les fichiers DLL. Par conséquent, le code malveillant passe par un processus légitime avant d’être chargé et exécuté. Cela signifie que les utilisateurs ne peuvent pas soupçonner d’activités de logiciels malveillants ou d’autres problèmes, même lorsqu’ils consultent un gestionnaire de fichiers. Le logiciel malveillant dans le fichier DLL restera caché pendant que le logiciel malveillant poursuit son travail.
De plus, de nombreux logiciels de sécurité ne détecteront pas ce malveillant comme étant nuisible au système parce que le code d’exécution avait déjà vérifié l’authenticité du fichier. C’est pourquoi les chercheurs en sécurité soulignent l’impact dévastateur que peuvent avoir les logiciels malveillants. Il a été reconnu comme légitime par le système, de sorte que les solutions de sécurité ne détecteront pas le fichier de logiciel malveillant.
Le cheval de Troie est considéré comme une application légitime
Les demandes authentiques ont généralement un Authenticode pour montrer que la demande est légitime. Ce logiciel malveillant peut éventuellement chercher à obtenir des privilèges plus élevés dans le système hôte, qui peuvent être accordés. Dans ce cas, lorsque le logiciel antivirus demande à l’utilisateur de modifier les mises à jour, il ne peut pas remettre en question la décision.
C’est ainsi que le cheval de Troie a pu s’infiltrer dans les systèmes parce que les acteurs ont pu remplacer l’application authentique par l’application malveillante. Par conséquent, le système n’a pas pu faire grand chose pour détecter le danger. C’est pourquoi les chercheurs en sécurité ont qualifié le logiciel malveillant de très sophistiqué.
