Les chercheurs de Google ont repéré malware développeurs utilisant une nouvelle astuce pour confondre et casser Windows 10 analyse les logiciels malveillants en utilisant des signatures délibérément mal formées sur des certificats valides.
La cyber-sécurité chercheur du groupe d’analyse des menaces (TAG) de Google, Neel Mehta a détails partagés à propos de la nouvelle astuce utilisée par les développeurs du malware OpenSUpdater.
Mehta a observé des échantillons de logiciels malveillants signés avec des certificats légitimes mais intentionnellement malformés, ce qui a perturbé le mécanisme d’analyse puisque les certificats ont été acceptés par Windows, mais rejetés par OpenSSL.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <
« Les produits de sécurité utilisant OpenSSL pour extraire les informations de signature rejetteront cet encodage comme non valide. Cependant, pour un analyseur qui permet ces encodages, la signature numérique du binaire apparaîtra autrement légitime et valide », note Mehta.
Sommaire
Nouvelle approche
Décoder la magie technique derrière le stratagème, BipOrdinateur explique qu’en substance, la technique casse l’analyse des certificats pour OpenSSL, empêchant les analyseurs de décoder les signatures numériques pour vérifier leur authenticité.
Cela permet aux échantillons malveillants d’éviter la détection par des solutions de sécurité qui utilisent des règles de détection basées sur OpenSSL, leur donnant un accès sans entrave à l’ordinateur de leur victime.
Mehta ajoute que la technique est peut-être le premier cas d’acteurs menaçants utilisant cette technique pour échapper à la détection. De plus, jusqu’à présent, la technique n’est utilisée que par les auteurs du malware OpenSUpdater, pour injecter des publicités dans les navigateurs des victimes et installer d’autres programmes indésirables sur leurs appareils.
Cependant, depuis la première découverte de cette activité, les auteurs d’OpenSUpdater ont essayé d’autres variantes d’encodages invalides pour échapper davantage à la détection.
Google TAG a également signalé la tactique d’évasion innovante à Microsoft, alors même qu’ils travaillent avec l’équipe de navigation sécurisée de Google pour bloquer cette famille de logiciels indésirables.
Passant par BipOrdinateur
