Les chercheurs en sécurité ont identifié une nouvelle campagne de logiciels malveillants qui exploite les certificats de signature de code et d’autres techniques pour l’aider à éviter la détection par un logiciel antivirus.
Selon un nouvel article de blog d’Elastic Security, les chercheurs de la société de cybersécurité ont identifié un groupe d’activités malveillantes après avoir examiné sa télémétrie de prévention des menaces.
Les cybercriminels à l’origine de cette nouvelle campagne utilisent des certificats de signature de code valides pour signer les logiciels malveillants afin de les aider à rester sous le radar de la communauté de la sécurité. Cependant, Elastic Security a également découvert un nouveau chargeur de logiciels malveillants utilisé dans la campagne qu’il a nommé Blister.
En raison de l’utilisation de certificats de signature de code valides et d’autres mesures prises pour éviter la détection, les cybercriminels responsables mènent cette nouvelle campagne depuis au moins trois mois.
Sommaire
Blister les logiciels malveillants
Les cybercriminels utilisent un certificat de signature de code délivré par la société d’identité numérique Sectigo pour une société appelée Blist LLC, c’est pourquoi Elastic Security a donné à son chargeur de logiciels malveillants le nom de Blister. Ils peuvent également opérer depuis la Russie car ils utilisent Mail.Ru comme service de messagerie.
En plus d’utiliser un certificat de signature de code valide, les cybercriminels se sont également appuyés sur d’autres techniques pour ne pas être détectés, notamment l’intégration du malware Blister dans une bibliothèque légitime. Après avoir été exécuté avec des privilèges élevés à l’aide de la commande rundll32, le logiciel malveillant décode le code d’amorçage qui est fortement obscurci et stocké dans la section des ressources. À partir de là, le code reste en veille pendant dix minutes pour échapper à l’analyse du bac à sable.
Une fois que suffisamment de temps s’est écoulé, le malware démarre et commence à déchiffrer les charges utiles intégrées qui lui permettent d’accéder à un système Windows à distance et de se déplacer latéralement sur le réseau d’une victime. Blister atteint également la persistance sur une machine infectée en stockant une copie dans le dossier ProgramData ainsi qu’une autre se présentant comme rundll32.exe. Pour aggraver les choses, le malware est ajouté à l’emplacement de démarrage d’un système afin qu’il se lance à chaque démarrage d’une machine.
Elastic Security a notifié à Sectigo la révocation du certificat de signature de code de Blister, bien que la société ait également créé une règle Yara pour aider l’organisation à identifier le nouveau malware.
Nous avons également présenté le meilleur logiciel de suppression de malware, meilleur antivirus et meilleur logiciel de protection des terminaux
Via l’ordinateur bip
