Les cybercriminels ont été très actifs dans le développement de nouveaux les logiciels malveillants échantillons et améliorer leurs approches malveillantes. Selon les statistiques de PurpleSec, activité de cybercriminalité tout au long 2021 a été en place 600% en raison de la pandémie de COVID-19.
Par conséquent, les chercheurs en cybersécurité ont analysé de nouvelles, morceaux de logiciels malveillants inédits. Nous avons sélectionné 10 nouvelles menaces avec diverses capacités qui ont été détectées dans la nature au cours des derniers mois, ciblage Android, macOS, Fenêtres, et Linux:
- Deux nouveaux chargeurs de logiciels malveillants: Wslink et SquirrelWaffle;
- Un rootkit Linux, appelé FontOnLake/HCRootkit;
- Deux chevaux de Troie bancaires Android: GriftHorse et Ermac;
- Deux portes dérobées sophistiquées: FoggyWeb et Solarmarker;
- Le Méris DDoS botnet;
- Le ransomware LockFile qui utilise un cryptage unique;
- Le détecté dans 2020 Malware XCSSET Mac, maintenant mis à jour avec de nouvelles fonctionnalités.
Désistement: Les cybermenaces répertoriées dans cet article ne représentent qu'une petite partie de tous les logiciels malveillants apparus dans 2021. notre top 10 sélection de 2021 les logiciels malveillants ne sont qu'un simple exemple du paysage des menaces en constante évolution.
Chargeur de logiciels malveillants Wslink
Un chargeur de malware jusqu'alors inconnu a été découvert en octobre, 2021. Appelé Lien ws, l'outil est « simple mais remarquable,” capable de charger des binaires Windows malveillants. Le chargeur a été utilisé dans des attaques contre l'Europe centrale, Amérique du Nord, et au Moyen-Orient.
Ce qui est unique dans ce chargeur auparavant non documenté, c'est sa capacité à s'exécuter en tant que serveur et à exécuter les modules reçus en mémoire. Selon le rapport compilé par les chercheurs d'ESET, le vecteur de compromis initial est également inconnu. Les chercheurs n'ont pu obtenir aucun des modules que le chargeur est censé recevoir. Pas de code, la fonctionnalité ou les similitudes opérationnelles suggèrent que le chargeur a été codé par un acteur connu de la menace.
Chargeur de logiciels malveillants SquirrelWaffle
Un autre chargeur de logiciels malveillants est apparu en octobre 2021, avec le potentiel de devenir "la prochaine grande chose" dans les opérations de spam. Doublé ÉcureuilGaufre, la menace est le « mal-spamming » de documents Microsoft Office malveillants. L'objectif final de la campagne est de diffuser le célèbre malware Qakbot, ainsi que Cobalt Strike. Ce sont deux des coupables les plus couramment utilisés pour cibler des organisations dans le monde entier.
Selon les chercheurs de Cisco Talos Edmund Brumaghin, Mariano Graziano et Nick Mavis, « SquirrelWaffle fournit aux acteurs de la menace un point de départ initial sur les systèmes et leurs environnements réseau. » Ce point d'ancrage peut ensuite être utilisé pour faciliter d'autres infections de compromis et de logiciels malveillants, selon les préférences de monétisation des pirates.
« Les organisations doivent être conscientes de cette menace, car il persistera probablement dans le paysage des menaces dans un avenir prévisible,» Les chercheurs. Une menace précédente du même calibre est Emotet, qui afflige les organisations depuis des années. Depuis que les opérations d'Emotet ont été perturbées par les forces de l'ordre, les chercheurs en sécurité attendaient l'apparition d'un nouvel acteur similaire. Et il a…
Rootkit Linux FontOnLake/HCRootkit
FontOnLake / HCRootkit est une nouvelle, famille de logiciels malveillants inédite ciblant les systèmes Linux. Surnommé FontOnLake par les chercheurs d'ESET, et HCRootkit par Avast et Lacework, le malware a des capacités de rootkit, conception avancée et faible prévalence, suggérant qu'il est principalement destiné aux attaques ciblées.
Selon les chercheurs, le rootkit FontOnLake est continuellement mis à jour avec de nouvelles fonctionnalités, ce qui signifie qu'il est en développement actif, et il est fort probable qu'il continuera à être utilisé dans 2022. Des échantillons de VirusTotal du malware révèlent que sa première utilisation dans la nature remonte à mai 2020. Il semble que le malware cible des entités en Asie du Sud-Est, mais d'autres régions pourraient bientôt être ajoutées à sa liste de cibles.
Le malware accorde un accès à distance à ses opérateurs, et pourrait être utilisé pour la collecte d'informations d'identification et comme serveur proxy.
Cheval de Troie Android GriftHorse
Un cheval de Troie Android néfaste, appelé GriftHorse et caché dans une campagne agressive de services mobiles premium a volé des centaines de millions d'euros. La découverte vient des chercheurs de Zimperium zLabs qui ont découvert que le cheval de Troie utilisait des applications Android malveillantes pour tirer parti des interactions des utilisateurs pour une portée et une infection plus larges..
"Ces applications Android malveillantes semblent inoffensives lorsque l'on regarde la description du magasin et les autorisations demandées, mais ce faux sentiment de confiance change lorsque les utilisateurs sont facturés mois après mois pour le service premium auquel ils sont abonnés à leur insu et sans leur consentement," le rapport a révélé.
Des preuves médico-légales indiquent que l'acteur menaçant GriftHorse dirige ses opérations depuis novembre 2020. Sans surprise, les applications Android malveillantes impliquées ont été distribuées via Google Play, mais les magasins d'applications tiers ont également été exploités. Suite à une divulgation à Google, la société a supprimé les applications malveillantes du Play Store. La mauvaise nouvelle est que les applications étaient toujours disponibles en téléchargement sur des référentiels d'applications tiers au moment du rapport d'origine. (Septembre 2021).
Cheval de Troie Android Ermac
ERMAC est un autre, cheval de Troie bancaire Android non détecté précédemment détecté en septembre 2021. Le malware semble avoir été inventé par les cybercriminels BlackRock et est basé sur les racines du tristement célèbre Cerberus.
« Si nous enquêtons ERMAC, nous pouvons découvrir qu'ERMAC est un héritier du code d'un malware bien connu Cerberus. Il utilise des structures de données presque identiques lors de la communication avec le C2, il utilise les mêmes données de chaîne, etc," a déclaré ThreatFabric. La première impression des chercheurs était que le nouveau cheval de Troie est une autre variante de Cerberus. Malgré un nom différent et l'utilisation de différentes techniques d'obscurcissement et d'un nouveau cryptage de chaîne, ERMAC est un autre cheval de Troie basé sur Cerberus.
La différence avec le Cerberus d'origine est qu'ERMAC utilise un autre schéma de cryptage lors de la communication avec le serveur de commande et de contrôle. Les données sont cryptées avec AES-128-CBC, et précédé d'un double mot contenant la longueur des données codées, le rapport.
Une connexion certaine avec les opérateurs de malware BlackRock est l'utilisation de la même adresse IP que la commande et le contrôle.
Porte dérobée post-exploitation FoggyWeb
Une nouvelle porte dérobée dans la nature attribuée à l'acteur de la menace NOBELIUM, soupçonné d'être derrière la porte dérobée SUNBURST, Logiciel malveillant TEARDROP, et « composants connexes ».
Selon Microsoft Threat Intelligence Center (MSTIC), la dite Web brumeux est une porte dérobée post-exploitation. L'acteur de la menace NOBELIUM utilise plusieurs techniques pour effectuer le vol d'informations d'identification. Son objectif actuel est d'obtenir un accès de niveau administrateur aux services de fédération Active Directory (AD FS) serveurs.
La porte dérobée est également décrite comme « passive » et « très ciblée,” avec des capacités d'exfiltration de données sophistiquées. « Il peut également recevoir des composants malveillants supplémentaires d'un système de commande et de contrôle. (C2) serveur et les exécuter sur le serveur compromis,” les chercheurs ont ajouté. Il convient également de noter que le malware fonctionne en permettant l'abus du Security Assertion Markup Language (SAML) jeton dans AD FS.
« La protection des serveurs AD FS est essentielle pour atténuer les attaques NOBELIUM. Détection et blocage des malwares, activité de l'attaquant, et d'autres artefacts malveillants sur les serveurs AD FS peuvent briser des étapes critiques dans les chaînes d'attaque NOBELIUM connues," Microsoft a conclu.
Porte dérobée de marqueur solaire
Solarmarker est une porte dérobée et un enregistreur de frappe hautement modulaire avec un, chargeur PowerShell fortement obscurci qui exécute la porte dérobée .NET.
Marqueurs solaires les activités ont été observées indépendamment par des chercheurs de Crowdstrike et Cisco Talos. Les deux sociétés ont détecté Solarmarker l'année dernière, en octobre et septembre, respectivement. Cependant, Talos dit que certaines données de télémétrie DNS remontent même à avril 2020. C'est à ce moment que les chercheurs ont découvert trois composants DLL principaux et plusieurs variantes présentant un comportement similaire.
« La campagne en cours de Solarmarker et la famille de logiciels malveillants associée sont préoccupantes.. Il a d'abord été capable de fonctionner et d'évoluer sur une durée importante tout en restant relativement indétectable,» notent les chercheurs en conclusion. Ils s'attendent également à voir d'autres actions et développements de la part des auteurs de Solarmarker, susceptibles d'inclure de nouvelles tactiques et procédures pour le malware..
Réseau de zombies DDoS Meris
Fin juin, 2021, des chercheurs en sécurité de la société russe Qrator ont commencé à observer « un botnet d'un nouveau genre ». Une recherche conjointe avec Yandex a suivi pour en savoir plus sur cette nouvelle menace DDoS « émergeant en temps quasi réel ».
Un assez substantiel, force d'attaque en constante augmentation, comme le dit Qrator, a été découvert sous la forme de dizaines de milliers de périphériques hôtes. Le botnet a été surnommé Meris, qui signifie peste en letton.
"Séparément, Qrator Labs a vu le 30 000 appareils hôtes en nombre réel à travers plusieurs attaques, et Yandex ont collecté les données sur 56 000 attaquer les hôtes,» selon le rapport officiel. Ce nombre est probablement encore plus élevé, atteindre 200,000. Il est à noter que les appareils de ce botnet sont très performants et ne sont pas les appareils statistiquement moyens connectés via Ethernet.
La nouvelle Mirai?
« Certaines personnes et organisations ont déjà qualifié le botnet de « retour de Mirai », que nous ne pensons pas être exact,» a noté Qrator. Puisque les chercheurs n'ont pas vu le code malveillant derrière ce nouveau botnet, ils ne peuvent pas dire avec certitude si c'est en quelque sorte lié à Mirai. Cependant, puisque les appareils qu'il regroupe proviennent d'un seul fabricant, Mikrotek, il est plus probable que le botnet Meris n'a rien à voir avec Mirai.
LockFile Ransomware
La Logiciel de rançon LockFile est apparu en juillet 2021. Le ransomware a exploité les vulnérabilités ProxyShell des serveurs Microsoft Exchange dans ses attaques. Les failles sont déployées « pour violer des cibles avec des, sur site serveurs Microsoft Exchange, suivi d'une attaque par relais PetitPotam NTLM pour prendre le contrôle du domaine,» selon Mark Loman de Sophos.
Ce qui est le plus remarquable à propos de ce ransomware, cependant, est son cryptage. Le cryptage intermittent n'a été utilisé par aucun ransomware connu jusqu'à présent, et il a été choisi par les acteurs de la menace à des fins d'évasion.
Comment fonctionne le cryptage intermittent? Le cryptovirus crypte chaque 16 octets d'un fichier pour tenter d'échapper à la détection par les solutions de protection contre les ransomwares. Apparemment, un document crypté de cette manière ressemble beaucoup à l'original crypté.
L'évasion est possible dans les cas où les outils anti-ransomware utilisent ce qu'on appelle le « chi carré (chi^2)" une analyse, altérer la manière statistique de faire cette analyse et donc la confondre.
Il est également à noter que le ransomware n'a pas besoin de se connecter à un serveur de commande et de contrôle, rendant son comportement sous le radar encore plus sophistiqué, ce qui signifie qu'il peut crypter des données sur des machines qui n'ont pas accès à Internet.
XCSSET Malware Mac
En mars, 2021, Les chercheurs de Sentinel Labs ont pris connaissance d'un projet de cheval de Troie Xcode ciblant les développeurs iOS. Le projet était une version malveillante d'un, projet open-source disponible sur GitHub, permettre aux programmeurs iOS d'utiliser plusieurs fonctionnalités avancées pour animer la barre d'onglets iOS.
Une campagne similaire a été détectée en avril, cibler les développeurs Xcode, équipé de Mac exécutant les nouvelles puces M1 d'Apple. Le malware est également capable de voler des informations sensibles à partir d'applications de crypto-monnaie.
Il convient de noter que la soi-disant Malware XCSSET a été découvert pour la première fois en août, 2020, quand il se propageait via des projets Xcode IDE modifiés. Le logiciel malveillant agit généralement en reconditionnant les modules de charge utile pour apparaître comme des applications Mac légitimes., qui finissent par infecter les projets Xcode locaux.
Les modules du malware incluent le vol d'informations d'identification, capture d'écran, injecter du JavaScript malveillant dans des sites Web, vol de données d'application, et dans certains cas, même les capacités de ransomware.
Les nouvelles variantes XCSSET sont compilées spécifiquement pour les puces Apple M1. C'est un signe clair que les opérateurs de logiciels malveillants adaptent leurs programmes malveillants aux dernières technologies Apple.
En conclusion…
Tous les cas de logiciels malveillants décrits ci-dessus illustrent l'importance d'une protection adéquate, prévention et bonnes habitudes d'hygiène en ligne. En ces temps troublés, n'oublions pas à quel point il est crucial de penser à notre sécurité en ligne, trop.
PS: Si vous avez trouvé cet article utile, assurez-vous de lire: