Virus Bulletin : Les vieux logiciels malveillants ne meurent pas, ils deviennent plus ciblés

L’édition 2021 du Virus Bulletin présente une kyrielle de logiciels malveillants nouveaux et améliorés, avec beaucoup plus de puissance et des quantités diaboliques de ciblage personnalisé. Qu'il s'agisse de cibles individuelles d'activistes politiques ou de cibles régionales, les logiciels malveillants sont de mieux en mieux ciblés.

L'ajout d'une charge utile de précision à des logiciels malveillants plus génériques est logique. Pourquoi soulever une nouvelle pile sous votre exploit quand vous pouvez simplement remplacer la pointe de la lance pour obtenir le meilleur effet ? Par exemple, Lyceum apparaît comme un remake, après que Talos et d'autres aient pris conscience des opérations précédentes. Mais une grande partie de la sauce secrète provient des acteurs de la menace qui ont simplement ajouté quelques éléments intéressants, comme la transformation des octets IP en quatre commandes codées ASCII pour le serveur C&C, ce qui est plutôt cool.

Pour les exploitants de logiciels malveillants, l'utilisation d'outils standard offre un certain déni, ce qui contrecarre les efforts d'analyse des logiciels malveillants si une grande partie des preuves est un amalgame d'outils standard. Comment prouver avec certitude qui en est l'auteur? Cette année, nous avons également assisté à de nombreux « chevauchements techniques », c'est-à-dire à des passages d'anciens logiciels malveillants de piratage de points de vente à des rançongiciels visant la « chasse au gros gibier », qui recherchent à faire de l'argent en fournissant le moindre effort possible.

Autre tendance : les logiciels malveillants très ciblés, à la saveur d'un État-nation. Les activistes politiques, en particulier, sont une cible permanente (remercions l'organisation Amnesty International pour sa perspicacité, qui fait suite aux travaux de Netscout/Bitdefender), les pirates tentant leurs cibles par le biais d'applications malveillantes pour smartphones destinées aux familles, de l'équipe Stealjob/Knspy Donot. Une fois installée, l'application malveillante demande des autorisations d'accès élevées à Android, puis enregistre les saisies sur l'écran et le clavier. Les attaquants font équipe avec des e-mails et essaient même de s'améliorer dans la localisation de la langue pour paraître plus légitimes (leur français n'était pas très bon dans les tentatives précédentes).

Par ailleurs, PowerShell est la nouvelle coqueluche pour faire de mauvaises choses sur des cibles informatiques. Grâce à des capacités plus étendues, il peut désormais fournir une multitude de fonctionnalités susceptibles de faire des ravages et de fournir un panneau de contrôle utile aux acteurs de la menace, comme l'exfiltration de fichiers, le téléchargement de futures charges utiles et l'interaction avec des serveurs C&C.

Si PowerShell est la nouvelle mode sur les ordinateurs des utilisateurs finaux, il est encore meilleur sur un serveur Windows. C'est presque la fin de la partie pour un serveur affecté, et les attaquants l'ont bien remarqué cette année, en élaborant des assauts toujours plus puissants contre la plate-forme.

Pour ne pas être en reste, nous avons toujours l'éternelle cible de bas niveau : l'UEFI. Les chercheurs d'ESET ont récemment découvert un nouveau venu, appelé ESPecter, qui modifie le processus de démarrage via son composant ESP, multipliant les cachettes de logiciels malveillants super furtifs qui donnent du fil à retordre aux logiciels de sécurité.

Comment se défendre contre ces types de logiciels malveillants? Il est surprenant de constater que de simples erreurs, telles que des fautes d'orthographe, sont encore intégrées dans les exploits malveillants. Par exemple, celui qui a mal orthographié « backdoor » et qui a ensuite copié cette faute d'orthographe dans plusieurs fichiers, pouvant mettant la puce à l’oreille de plusieurs.

Ironiquement, dans la plupart des enquêtes mises en lumière, il est frappant de voir combien de pièces du puzzle se sont assemblées en raison d'une « découverte fortuite ». Cela signifie que les chercheurs ont eu de la chance quelque part en cours de route. Cela peut également signifier la découverte d'un élément évident posté sur le web public qui permet d'identifier les auteurs de logiciels malveillants grâce à des noms d'utilisateur laissés sur les médias sociaux quelque part qui renvoient clairement à l'identité des opérateurs. Il est amusant de constater que, dans l'ombre de la palette du chercheur, la chance règne souvent.

En parlant d'acteurs de la menace à louer, une mention spéciale est accordée au concours de noms qui a dû se dérouler derrière le groupe de hackers en location « Opération Hangover », indépendamment de leur niveau de réussite, qui, je suppose, peut être lié d'une certaine manière aux indices qui y sont représentés.

Nous attendons avec impatience l’édition 2022 du Virus Bulletin, qui devrait se tenir à Prague. Nous croisons les doigts