Le logiciel de sécurité et les fonctions de protection fournies par les applications installées dans notre équipement, n'arrêtent pas d'améliorer. Mais malgré les efforts des entreprises responsables, il semble que les acteurs malveillants aient toujours une longueur d'avance.
Et c'est que les différents codes et types de logiciels malveillants que nous pouvons trouver aujourd'hui sont beaucoup plus complexes que par le passé. C'est une tendance présente pendant longtemps, tout pour prendre le contrôle de notre équipement, de nos données personnelles et même de l'argent. Ensuite, nous allons parler de deux nouvelles menaces récentes ont détecté que pour le moment, pourrait être considérée comme invisible.
Xworm, le malware qui empêche les systèmes de détection
Tout d'abord, nous allons nous concentrer sur le Code malveillant connu sous le nom de xworm. En fait, c'est une évolution des opérations de logiciels malveillants Xwor, qui intègre des tactiques avancées pour Systèmes de détection d'évasion actuel. En fait, le Trellix Advanced Research Center a découvert un changement significatif dans la stratégie de Implémentation de ce malware. Maintenant, il tend davantage à des méthodes d'infection plus trompeuses et complexes. De toute évidence, tout pour augmenter les taux de réussite et sans être détectés.
XWorm a traditionnellement basé sur des mécanismes de distribution prévisibles, mais les campagnes récentes démontrent une transformation radicale. Utilisez maintenant les noms de Fichiers exécutables de l'apparence légitime Pour se camoufler comme une application inoffensive. Tout pour gagner la confiance des utilisateurs et des systèmes. Il combine l'ingénierie sociale avec des vecteurs d'attaques techniques, allant au-delà des attaques conventionnelles basées sur un simple e-mail.
L'attaque commence par un fichier .lnk caché qui est distribué par des campagnes de phishing. Lors de l'exécution, les commandes malveillantes PowerShell sont activées qui déclenchent une réaction en chaîne complexe. Ainsi, un fichier texte est déchargé dans le répertoire temporaire du système avant de réduire un faux exécutable appelé Discord.exe à partir d'un serveur distant. Ce fichier utilise des techniques d'emballage.net en passant par l'icône légitime d'une application Discord.
Lors de l'exécution, téléchargez deux fichiers malveillants supplémentaires qui contiennent la charge utile de Xword réelle. Ainsi, vous pouvez compromettre le système en désactivant le pare-feu Windows par des modifications d'enregistrement. Il met également en œuvre des techniques d'évasion avancées pour devenir indétectables. Utilisez des commandes PowerShell pour ajouter aux listes de Exclusion du défenseur Windowséluant ainsi la surveillance du temps réel par l'antivirus installé.
De là, les attaquants peuvent exécuter des commandes distantes, y compris le système off, les téléchargements de fichiers, les redirections d'URL et les attaques DDOS.
Ceci est le nouveau malware Notdoor
D'un autre côté, nous trouvons le nouveau malware qui a été appelé Notdoor. Son opération est axée sur les utilisateurs d'Outlook pour voler des données et compromettre le système d'exploitation. Il s'agit de logiciels malveillants sophistiqués à la porte arrière qui attaque spécifiquement Utilisateurs de Microsoft Outlook. Cela permet aux attaquants de voler des données confidentielles et d'obtenir un contrôle total des systèmes engagés. Son développement est attribué à APT28, un groupe de cybersan russe bien connu.
La découverte de ce nouveau logiciel malveillant provient de Lab52, l'unité de renseignement des menaces de la société espagnole S2. De là, nous savons déjà que Notdoor est un Des logiciels malveillants cachés écrits dans Visual Basic Pour les applications VBA habituelles pour automatiser les tâches dans les applications de bureau. Il fonctionne en surveillant les e-mails entrants à la recherche de mots clés spécifiques.
Lorsqu'il détecte un intérêt, le malware est activé et permet aux attaquants d'exécuter des commandes malveillantes dans l'équipe de la victime. De là, il utilise plusieurs techniques avancées pour éviter la détection par l'antivirus.
- Obfuscation du code. Le code malware est codé avec des noms de variables aléatoires.
- Charge latérale DLL. Les logiciels malveillants explose un binaire légitime et signé de Microsoft appelé onedrive.exe pour charger des fichiers DLL malveillants.
- Modification d'enregistrement. Nodoor modifie la configuration d'enregistrement Outlook, désactivant les avertissements de sécurité des macros.
À cette époque, le malware abuse des fonctions d'Outlook pour maintenir sa persistance et rester caché. Une fois actif, créez un répertoire caché pour stocker des fichiers temporaires contrôlés par l'attaquant. Selon des experts, pour nous protéger de ce code malveillant, c'est important Désactiver les macros Par défaut, car cela élimine le vecteur d'attaque principal.
Étant donné que Xworm explose PowerShell et les exclusions de Windows Defender, les mesures de protection suivantes sont recommandées:
- Activer l'accès contrôlé aux dossiers de défenseurs Microsoft.
- Restreindre l'exécution de PowerShell par le biais de politiques de groupe.
- Surveillez les exclusions antivirus.
| Fonctionnalité | Ver | Notdoor |
|---|---|---|
| Vecteur d'attaque | Archives malveillantes. | Macros VBA dans les e-mails Microsoft Outlook |
| Technique principale | Utilisation de PowerShell pour télécharger les charges utiles et modifier le système | DLLS Charge latérale en utilisant OneDrive.exe légitime |
| Technique d'évasion | Self-Adds to Windows Defender Exclusions | Obfuscation du code VBA et désactivation des alertes de macros |
| Attribution | Non spécifié (campagnes de cybercriminalité) | APT28 (Ours fantaisie), renseignement militaire russe (GRU) |