malware définition

Un bot malveillant échappe à la détection par morphing

Ciblant les systèmes Windows et Linux, le bot Necro Python modifierait son code pour échapper à la détection de sécurité traditionnelle.

La technique du morphing pour échapper à la détection

Les cybercriminels utilisent souvent des bots pour déployer des infections par malware, prendre le contrôle d’ordinateurs distants et mener d’autres cyberattaques. Un bot est souvent décrit comme limité en intelligence et en flexibilité. Mais un bot sophistiqué peut faire beaucoup de dégâts. Un rapport publié par Cisco Talos, le fournisseur de renseignements sur les menaces, examine un bot qui inclut le morphing de code dans son répertoire.

Baptisé Necro Python, ce bot s’attaque aux ordinateurs qui exécutent Windows ou Linux en exploitant les failles de sécurité du système d’exploitation ou d’une application installée. Pour effectuer l’infection initiale, Necro utilise un téléchargeur basé sur Java. Le malware est déployé via un interpréteur Python et un script malveillant ainsi que des fichiers exécutables créés à l’aide du programme d’application Python PyInstaller.

Necro Python : de nouvelles versions toujours plus puissantes

Necro a été découverte cette année. Sa dernière itération révèle une variété de changements et de nouveaux pouvoirs. L’activité repérée par Talos montre différentes communications de commandement et de contrôle (C2) et de nouveaux exploits pour l’aider à se propager. Le bot tire en particulier parti des vulnérabilités de VMWare vSphere, SCO OpenServer et Vesta Control Panel ainsi que des failles basées sur Windows SMB, dont aucune n’a été vue dans les versions antérieures du code.

laptop malware enchères

Le morphing de codes est l’une des capacités les plus alarmantes découvertes dans la dernière version de Necro. Talos a découvert que le code du script peut se transformer en une forme différente après chaque itération. Cette compétence transforme Necro en un ver polymorphe qui peut se propager en abusant d’un nombre croissant d’interfaces web et d’exploits SMB.

Au-delà de la capacité de morphing, Necro installe un rootkit en mode utilisateur pour masquer ses fichiers, processus et entrées de registre malveillants. L’idée est de rendre le bot plus difficile à détecter. Ces tactiques pourraient aider Necro à échapper à la protection de sécurité traditionnelle et basique, mais pas aux outils de détection plus modernes, dont les produits de détection et de réponse étendues.

Les autres capacités de Necro Python

Necro installe aussi une variante de xmrig. Il s’agit d’un programme open source qui utilise le processeur d’un système pour l’exploitation minière Monero. Le bot injecte également du code malveillant dans des fichiers HTML et de script. Ceci pour ajouter un mineur basé sur JavaScript mais aussi davantage de moyens de contrôler et de détourner les informations de différents navigateurs. Si l’utilisateur ouvre une application infectée, le mineur JavaScript Monero s’exécute alors via le navigateur.

Necro essaie spécifiquement d’exploiter les logiciels côté serveur pour se propager sur un réseau. Comme d’autres robots comme Mirai, Necro cible les routeurs des petits bureaux et des bureaux à domicile. Mais il utilise Python pour frapper différents systèmes d’exploitation au lieu de télécharger le code compilé pour chaque plateforme. Pour s’en protéger, les utilisateurs doivent s’assurer d’appliquer régulièrement les dernières mises à jour de sécurité à toutes les applications, et pas seulement aux systèmes d’exploitation.