La cyber-sécurité les chercheurs ont partagé des détails sur un mal conçu malware campagne qui tombe à plat sur son visage.
La société de sécurité des réseaux d’entreprise Trustwave a repéré une campagne qui utilise un nouveau fichier d’image disque pour dissimuler les logiciels malveillants. Il dit que si l’utilisation de pièces jointes inhabituelles permet de contourner les logiciels de sécurité comme pare-feu et Logiciel antivirus, il court également le risque de soulever des drapeaux rouges auprès des utilisateurs.
Cependant, dans ce cas, les acteurs de la menace ont utilisé un format de fichier si ésotérique qu’il n’est même pas pris en charge par les fenêtres.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et vous pouvez également choisir de participer au tirage au sort pour gagner un bon Amazon de 100 $ ou l’un des cinq abonnements ExpressVPN d’un an.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
« L’encapsulation des logiciels malveillants dans un format de fichier d’archive inhabituel est l’un des moyens courants de contourner les passerelles et les scanners. Cependant, cette stratégie pose également un obstacle – le système cible doit reconnaître le type de fichier ou au moins disposer d’un outil capable de décompresser et de traiter le fichier », note Trustwave dans son analyse.
Sommaire
WIMs et fantaisies
La campagne a vu les acteurs de la menace utiliser le fichier WIM (Windows Imaging Format), déguisé en facture ou en lettre de voiture, pour faire passer des logiciels malveillants.
Dans le passé, les acteurs malveillants se sont appuyés sur des fichiers d’image disque tels que .ISO, .IMG et .DAA pour dissimuler les logiciels malveillants. Cependant, comme le note Trustwave, contrairement aux autres formats d’image disque, Windows n’a pas la capacité intégrée d’extraire ces fichiers, qui ne peuvent être décompressés qu’à l’aide outils d’archivage aimer 7Zip, PowerISO et PeaZip.
L’analyse Trustwave révèle que le fichier contient les Agent Tesla malware, qui est un cheval de Troie d’accès à distance (RAT) dangereux qui peut exfiltrer des données via HTTP, SMTP, FTP et Telegram et également permettre aux acteurs de la menace d’exercer un contrôle sur un système compromis.
Cependant, dissimuler un malware aussi mortel dans un format de fichier aussi obscur n’est pas vraiment une décision intelligente car cela garantit qu’une majorité des cibles ne pourront pas infecter accidentellement leurs ordinateurs.
