LEBIGDATA.FR I.A, Cloud & Cybersécurité
Des chercheurs ont observé une campagne de Malware abusant des journaux des événements Windows. Dans cette attaque, les acteurs malveillants auraient adopté une technique à la fois inédite et sophistiquée utilisant de Malware sans fichier.
Une attaque de Malware sans fichier
Dans cette campagne de Malware, les acteurs malveillants ont développé une technique d’attaque particulièrement sophistiquée. Il s’agit par ailleurs d’une tactique inédite qui implante furtivement des logiciels malveillants sans fichier sur les machines ciblées.
Concrètement, les hackers injectent du shellcode directement dans les journaux d’événements Windows. Ces derniers leur servent ensuite d’outil pour lancer des chevaux de Troie dans la dernière étape de la chaîne d’infection
Les acteurs malveillants amènent dans un premier temps les cibles à télécharger un fichier RAR. Le téléchargement se fait sur un faux site qui semble légitime. Ce fichier vient ensuite exécuter des outils de test de pénétration appelés Cobalt Strike et SilentBreak.
Ces mêmes outils, dotés de capacités anti détection, servent à fournir du shellcode sur les machines ciblées. D’autres certificats numériques aident le Malware à échapper aux contrôles de sécurité.
Une menace permanente
Des chercheurs ont observé une autre attaque de Malware sans fichier. Une technique que les analystes considèrent comme une grande menace dans le paysage des cyberattaques. IBM Security X-Force évoque la récente découverte d’une nouvelle variante de Malware sans fichier : DarkWatchman.
Le Malware était déployé via des emails de phishing. Le gang Hive0117 fait partie des groupes ayant utilisé ce logiciel malveillant à des fins d’extorsion financière. Ces hackers ciblent principalement les secteurs des télécommunications, de l’électronique et de l’industrie en Lituanie, en Estonie et en Russie.
Les chercheurs recommandent aux organisations de renforcer leur système de défense face à ces attaques furtives et évolutives. Une sécurité accrue des terminaux permet de contrecarrer les attaques à un stade précoce.
