Les logiciels malveillants sont de toutes formes et tailles. De plus, la sophistication des logiciels malveillants a considérablement augmenté au fil des ans. Les attaquants se rendent compte qu'essayer d'intégrer tous les aspects de leur package malveillant dans une seule charge utile n'est pas toujours le moyen le plus efficace.
Au fil du temps, les logiciels malveillants sont devenus modulaires. Autrement dit, certaines variantes de logiciels malveillants peuvent utiliser différents modules pour modifier la façon dont ils affectent un système cible. Alors, qu'est-ce qu'un logiciel malveillant modulaire et comment fonctionne-t-il ?
Les logiciels malveillants modulaires sont une menace avancée qui attaque un système à différentes étapes. Au lieu de passer par la porte d'entrée, les logiciels malveillants modulaires adoptent une approche plus subtile.
Pour ce faire, il n'installe d'abord que les composants essentiels. Ensuite, au lieu de provoquer une fanfare et d'alerter les utilisateurs de sa présence, le premier module surveille la sécurité du système et du réseau ; qui est responsable, quelles protections sont en cours d'exécution, où le malware peut trouver des vulnérabilités, quels exploits ont les meilleures chances de succès, etc.
Après avoir réussi à délimiter l'environnement local, le module anti-programme malveillant de première étape peut se connecter à son serveur de commande et de contrôle (C2). Le C2 peut ensuite renvoyer des instructions supplémentaires ainsi que des modules de logiciels malveillants supplémentaires pour tirer parti de l'environnement spécifique dans lequel le logiciel malveillant opère.
Les logiciels malveillants modulaires présentent plusieurs avantages par rapport aux logiciels malveillants qui regroupent toutes leurs fonctionnalités dans une seule charge utile.
Les logiciels malveillants modulaires ne sont pas une nouvelle menace soudaine. Les développeurs de logiciels malveillants utilisent depuis longtemps efficacement les programmes malveillants modulaires. La différence est que les chercheurs en sécurité sont confrontés à des logiciels malveillants plus modulaires dans un plus large éventail de situations. Les chercheurs ont également repéré l'énorme botnet Necurs (très célèbre pour avoir distribué les variantes de rançongiciels Dridex et Locky) distribuant des charges utiles de logiciels malveillants modulaires. (Qu'est-ce qu'un botnet, au fait ?)
Il existe des exemples de logiciels malveillants modulaires très intéressants. En voici quelques-unes à considérer.
VPNFilter est une variante récente de malware qui attaque les routeurs et les appareils de l'Internet des objets (IoT). Le logiciel malveillant fonctionne en trois étapes.
Le logiciel malveillant de la première étape contacte un serveur de commande et de contrôle pour télécharger le module de la deuxième étape. Le module de deuxième étape collecte des données, exécute des commandes et peut interférer avec la gestion des appareils (y compris la capacité de «briquer» un routeur, un IoT ou un appareil NAS). La deuxième étape peut également télécharger des modules de troisième étape, qui fonctionnent comme des plugins pour la deuxième étape. Les modules de l'étape 3 incluent un renifleur de paquets pour le trafic SCADA, un module d'injection de paquets et un module qui permet au logiciel malveillant de l'étape 2 de communiquer via le réseau Tor.
Vous pouvez en savoir plus sur VPNFilter, d'où il vient et comment le repérer ici.
Les chercheurs en sécurité de Palo Alto Networks ont découvert le malware T9000 (aucun rapport avec Terminator ou Skynet… ou est-ce ? !).
T9000 est un outil de renseignement et de collecte de données. Une fois installé, T9000 permet à un attaquant de "capturer des données cryptées, de prendre des captures d'écran d'applications spécifiques et de cibler spécifiquement les utilisateurs de Skype", ainsi que les fichiers de produits Microsoft Office. Le T9000 est livré avec différents modules conçus pour éviter jusqu'à 24 produits de sécurité différents, modifiant son processus d'installation pour rester sous le radar.
DanaBot est un cheval de Troie bancaire multi-étapes avec différents plugins que l'auteur utilise pour étendre ses fonctionnalités. (Comment traiter rapidement et efficacement les chevaux de Troie d'accès à distance.) Par exemple, en mai 2018, DanaBot a été repéré dans une série d'attaques contre des banques australiennes. À l'époque, les chercheurs ont découvert un plug-in de reniflage et d'injection de paquets, un plug-in de visualisation à distance VNC, un plug-in de collecte de données et un plug-in Tor permettant une communication sécurisée.
"DanaBot est un cheval de Troie bancaire, ce qui signifie qu'il est nécessairement géo-ciblé dans une certaine mesure", lit-on dans l'entrée de blog Proofpoint DanaBot. "L'adoption par des acteurs à haut volume, cependant, comme nous l'avons vu dans la campagne américaine, suggère un développement actif, une expansion géographique et un intérêt continu des acteurs de la menace pour le malware. Le malware lui-même contient un certain nombre de fonctionnalités anti-analyse, ainsi que des mises à jour modules de vol et de contrôle à distance, augmentant encore son attrait et son utilité pour les acteurs de la menace."
Je combine trois variantes de logiciels malveillants modulaires en une seule section, car les formidables chercheurs en sécurité de Proofpoint ont découvert les trois. Les variantes de logiciels malveillants modulaires présentent des similitudes mais ont des utilisations différentes. De plus, CobInt fait partie d'une campagne pour le groupe Cobalt, une organisation criminelle liée à une longue liste de cybercrimes bancaires et financiers.
Marap et AdvisorsBot ont tous deux été repérés en train de délimiter les systèmes cibles pour la défense et la cartographie du réseau, et si le logiciel malveillant devait télécharger la charge utile complète. Si le système cible présente un intérêt suffisant (par exemple, s'il a de la valeur), le logiciel malveillant appelle la deuxième étape de l'attaque.
Comme d'autres variantes de logiciels malveillants modulaires, Marap, AdvisorsBot et CobInt suivent un flux en trois étapes. La première étape est généralement un e-mail avec une pièce jointe infectée qui contient l'exploit initial. Si l'exploit s'exécute, le logiciel malveillant demande immédiatement la deuxième étape. La deuxième étape porte le module de reconnaissance qui évalue les mesures de sécurité et le paysage réseau du système cible. Si le logiciel malveillant considère que tout est approprié, le troisième et dernier module se télécharge, y compris la charge utile principale.
Analyse Proofpoint de :
Mayhem est une variante de malware modulaire légèrement plus ancienne, apparue pour la première fois en 2014. Cependant, Mayhem reste un excellent exemple de malware modulaire. Le malware, découvert par les chercheurs en sécurité de Yandex, cible les serveurs Web Linux et Unix. Il s'installe via un script PHP malveillant.
Une fois installé, le script peut faire appel à plusieurs plugins qui définissent l'utilisation ultime du malware.
Les plugins incluent un craqueur de mots de passe par force brute qui cible les comptes FTP, WordPress et Joomla, un robot d'exploration Web pour rechercher d'autres serveurs vulnérables et un outil qui exploite la vulnérabilité Heartbleed OpenSLL.
Notre dernière variante de malware modulaire est également l'une des plus complètes. C'est aussi l'un des plus inquiétants, pour plusieurs raisons.
Première raison :DiamondFox est un botnet modulaire en vente sur divers forums clandestins. Les cybercriminels potentiels peuvent acheter le package de botnet modulaire DiamondFox pour accéder à un large éventail de capacités d'attaque avancées. L'outil est régulièrement mis à jour et, comme tout bon service en ligne, dispose d'un support client personnalisé. (Il a même un journal des modifications !)
Raison 2 :le botnet modulaire DiamondFox est livré avec une gamme de plugins. Ceux-ci sont activés et désactivés via un tableau de bord qui ne serait pas déplacé en tant qu'application de maison intelligente. Les plug-ins incluent des outils d'espionnage personnalisés, des outils de vol d'informations d'identification, des outils DDoS, des enregistreurs de frappe, des expéditeurs de spam et même un grattoir de RAM.
Avertissement :la vidéo suivante contient de la musique que vous pourriez apprécier ou non.
À l'heure actuelle, aucun outil spécifique ne protège contre une variante de logiciel malveillant modulaire spécifique. En outre, certaines variantes de logiciels malveillants modulaires ont une portée géographique limitée. Par exemple, Marap, AdvisorsBot et CobInt se trouvent principalement en Russie et dans les pays de la CEI.
Cela dit, les chercheurs de Proofpoint ont souligné que malgré les limitations géographiques actuelles, si d'autres criminels voient une telle organisation criminelle établie utiliser des logiciels malveillants modulaires, d'autres suivront certainement.
Il est important de savoir comment les logiciels malveillants modulaires arrivent sur votre système. La majorité utilise des pièces jointes infectées, contenant généralement un document Microsoft Office avec un script VBA malveillant. Les attaquants utilisent cette méthode car il est facile d'envoyer des e-mails infectés à des millions de cibles potentielles. De plus, l'exploit initial est minuscule et facilement déguisé en fichier Office.
Comme toujours, assurez-vous de garder votre système à jour et envisagez d'investir dans Malwarebytes Premium --- ça vaut le coup !
