Connectez-vous avec nous

Ordinateurs et informatique

Les pirates utilisent cette étrange technique pour lancer des attaques contre les appareils Windows

Une nouvelle technique d'attaque a été découverte par Huntress Labs qui utilise un certain nombre de trucs, notamment renommer des fichiers légitimes, usurper l'identité d'une tâche planifiée existante et utiliser de faux journaux d'erreurs pour se cacher à la vue.

Après avoir gagné en persistance sur un système ciblé, l'attaquant a utilisé un fichier qui imite un journal d'erreurs Windows pour une application afin de préparer le système aux attaques basées sur des scripts.

Dans un billet de blog, fondateur et vice-président de Huntress Labs, John Ferrell a expliqué que les cybercriminels ont fait des efforts pour rendre légitime leur faux journal d'erreurs, en disant:

«À première vue, cela ressemble à un journal pour certaines applications. Il a des horodatages et inclut des références à OS 6.2, le numéro de version interne pour Windows 8 et Window Server 2012. Il s'avère que ce fichier est associé à un pied malveillant que nous avons découvert. »

Le faux journal des erreurs utilisé par les attaquants stocke en fait des caractères ASCII qui ont été déguisés en valeurs hexadécimales.

Cachant à la vue

Une fois le faux journal d'erreurs décodé, il crée un script qui est utilisé pour contacter le serveur de commande et de contrôle de l'attaquant pour savoir quoi faire ensuite.

Selon Ferrel, la charge utile est obtenue en utilisant une tâche planifiée usurpant l'identité d'une tâche réelle sur le système ciblé. La technique utilise également deux exécutables qui ont été renommés pour apparaître comme des fichiers légitimes.

Le premier est nommé «BfeOnService.exe» et il s'agit en fait d'une copie d'un utilitaire appelé «mshta.exe» qui exécute Microsoft HTML Applications (HTA). L'utilitaire a été utilisé abusivement dans le passé pour déployer des fichiers HTA malveillants, mais dans ce cas, il est utilisé pour exécuter un VBScript pour démarrer PowerShell et exécuter une commande dedans. L'autre exécutable est nommé «engine.exe» et est une copie de «powershell.exe». Il est utilisé pour extraire les nombres ASCII contenus dans le faux journal d'erreurs et les convertir afin d'obtenir la charge utile.

La charge utile elle-même recueille des informations sur les navigateurs, les logiciels fiscaux, les logiciels de sécurité et les logiciels PoS installés sur le système. Cependant, à l'heure actuelle, l'objectif final de l'attaquant utilisant cette nouvelle technique d'attaque est encore inconnu.

Via BleepingComputer

Les offres de produits Hi-tech en rapport avec cet article

Autres articles en relation:

Les pirates utilisent des attaques DDoS pour presser les victimes contre une rançon Les attaquants utilisent des instances AWS pour lancer des attaques sur des sites WordPress Des pirates abusant de cette fonctionnalité parfaitement innocente de Windows 10 pour infecter des machines Les pirates utilisent de faux avis de sécurité pour cibler les utilisateurs de cPanel Les escroqueries sur Twitter utilisent de faux comptes d'assistance technique Les pirates utilisent Telegram comme plaque tournante pour les activités malveillantes Les pirates utilisent les offres spéciales de Covid-19 pour propager des logiciels malveillants Ce sont les astuces que les pirates utilisent pour détourner votre email
Sujets connexes :
Continuer la lecture
Cliquez pour commenter

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

ARTICLES POPULAIRES