Les chercheurs en sécurité viennent de découvrir une nouvelle attaque sans fichier qui exploite le rapport d'erreurs Microsoft Windows (OMS).
Le groupe de piratage derrière la soi-disant attaque Kraken n'a pas encore été identifié.
Les chercheurs en sécurité Hossein Jazi et Jérôme Segura affirment que l'attaque repose sur des logiciels malveillants cachés dans des exécutables basés sur WER. De cette façon, il reste inaperçu sans créer aucun soupçon.
L'attaque sans fichier de Kraken expliquée
L'attaque est initiée par un document d'hameçonnage leurre dans un fichier .ZIP, intitulé «Compensation manual.doc». Comme on le voit dans de nombreuses attaques de phishing, le document prétend contenir des informations sur les droits de rémunération des employés. Cependant, si un employé d'une organisation l'ouvre, ils vont déclencher une macro malveillante. L'activation des macros est l'une des plus anciennes astuces des campagnes malveillantes basées sur le phishing.
Dans ce cas, la macro utilise une version personnalisée du module VBA CactusTorch qui lance une attaque sans fichier via le shellcode. CactusTorch télécharge ensuite un binaire compilé .Net, surnommé Kraken.dll, qui est chargé en mémoire et exécuté via VBScript. La charge utile injecte un shellcode intégré dans le fichier WerFault.exe, qui est connecté au service WER Microsoft. Le shellcode fait également une requête HTTP à un domaine codé en dur, peut-être fait pour télécharger des logiciels malveillants supplémentaires.
"Rapport d'erreurs Windows (OMS) est une infrastructure de rétroaction flexible basée sur les événements conçue pour collecter des informations sur les problèmes matériels et logiciels que Windows peut détecter, signaler les informations à Microsoft, et fournir aux utilisateurs toutes les solutions disponibles," Microsoft dit.
Habituellement, lorsqu'un utilisateur Windows voit l'exécution de WerFault.exe, ils peuvent penser qu'une erreur s'est produite. Cependant, dans ce cas particulier, l'exécution de ce fichier signifie une attaque de malware ciblée. Il est à noter que la même technique a été déployée par NetWire RAT et le ransomware Cerber.
D'autres activités malveillantes vues dans cette campagne sans fichier incluent obfuscation du code, DLL fonctionnant dans plusieurs threads, recherche d'environnements sandbox et débogueur, et analyse du registre pour les machines virtuelles VMWare disponibles ou Oracle VirtualBox. Aussi, si des activités d'analyse sont localisées, ils seront résiliés.
Des attaquants inconnus sont à l'origine des attaques sans fichier de Kraken
Parce que l'URL cible codée en dur du malware a été supprimée pendant que les chercheurs effectuaient l'analyse, il est actuellement impossible d'attribuer l'attaque à un groupe de menaces particulier. Cependant, certains éléments de l'attaque de Kraken rappellent OceanLotus, un groupe APT vietnamien.
Le malware OceanLotus Je me suis concentré sur l'infection de réseaux spécifiques dans des campagnes d'attaque ciblée. Le collectif criminel derrière lui mène des campagnes contre les entreprises et les agences gouvernementales en Asie: Laos, Cambodge, Viêt-Nam, et les Philippines. Ce qui est connu au sujet de ces attaques particulières est qu'ils sont orchestrés par un groupe de piratage très expérimenté.
Pourquoi un malware sans fichier?
L'idée derrière malware fileless est simple: si des outils existent déjà sur un dispositif, comme PowerShell.exe, pour répondre aux objectifs d'un attaquant, alors pourquoi déposer des outils personnalisés qui pourraient être signalés comme des logiciels malveillants? Si un cybercriminel peut prendre en charge un processus, exécuter le code dans son espace mémoire, puis utiliser ce code pour appeler des outils qui sont déjà sur un dispositif, l'attaque devient furtive et presque impossible à détecter.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: