Une nouvelle souche de malware horrible se faufile discrètement devant les défenses de Windows

Les chercheurs en protection ont découvert une nouvelle campagne de logiciels malveillants qui exploite les certificats de signature de code et d’autres techniques pour l’aider à empêcher la détection par un logiciel antivirus.

Conformément à un nouvel article d’Elastic Safety, les chercheurs de la société de cybersécurité ont déterminé un groupe d’exercices destructeurs après avoir examiné sa télémétrie de prévention des dangers.

Les cybercriminels qui guident cette nouvelle campagne appliquent des certificats de signature de code légitimes pour signaler les logiciels malveillants afin de les aider à rester sous le radar du groupe de sécurité. Cependant, Elastic Stability a également découvert un nouveau chargeur de logiciels malveillants utilisé dans la campagne qu’il a nommé Blister.

En raison de l’utilisation de certificats de signature de code valides et d’autres mesures prises pour éviter la détection, les cybercriminels fiables mènent cette nouvelle campagne depuis au moins trois mois.

Blister les logiciels malveillants

Les cybercriminels travaillent avec une certification de signature de code délivrée par la société d’identification numérique Sectigo pour une entreprise connue sous le nom de Blist LLC, c’est pourquoi Elastic Protection a donné à son chargeur de logiciels malveillants le nom de Blister. Ils peuvent également fonctionner depuis la Russie car ils utilisent Mail.Ru comme assistance par e-mail.

En plus de travailler avec un certificat de signature de code valide, les cybercriminels se sont également appuyés sur d’autres procédures pour ne pas être détectés, notamment l’intégration du malware Blister dans une bibliothèque réputée. Juste après avoir été exécuté avec des privilèges élevés à l’aide de la commande rundll32, le logiciel malveillant décode le code d’amorçage qui est étroitement masqué et stocké dans la partie source. À partir de là, le code reste en veille pendant 10 minutes pour échapper à l’évaluation du bac à sable.

Au moment où le temps nécessaire s’est écoulé, le logiciel malveillant démarre et commence à déchiffrer les charges utiles intégrées qui lui permettent d’accéder à distance à un système Windows Home et de se déplacer latéralement sur le réseau d’une victime. La boursouflure atteint également la persistance sur un équipement contaminé en stockant une copie dans le dossier ProgramData ainsi qu’un autre nom comme rundll32.exe. Pour aggraver les problèmes, le malware est ajouté à la zone de démarrage d’un système afin qu’il se lance à peu près à chaque démarrage d’un appareil.

Elastic Safety a notifié à Sectigo la révocation de la certification de signature de code de Blister, bien que la société ait également créé une règle Yara pour permettre à l’organisation de découvrir le nouveau malware.

Nous avons également présenté le le plus grand logiciel de suppression de logiciels malveillants, meilleur antivirus et meilleur logiciel informatique de défense des terminaux

Via Bleeping Ordinateur portable ou ordinateur