Des nouveaux types de malware

Date : 08 Décembre 2015

Des nouveaux malwares découverts le mois dernier, nous rappellent que les logiciels malveillants évoluent et se perfectionnent.
Leurs analyses pointent de nouvelles techniques utilisées dans les cyber-attaques.

 

Un ransomware JavaScript

La société Emsisoft a annoncé avoir découvert au mois de décembre, un nouveau type de ransomware, développé intégralement en JavaScript.

Baptisé Ransom32, il utilise le Framework de développement NW.js (Node-Webkit), basé sur Node.js et Chromium. Ce Framework possède deux caractéristiques intéressantes pour un malware :

  • il permet de créer des applications de bureau qui s’exécutent en dehors du bac à sable du navigateur, et ont donc accès à toutes les ressources de la machine,
  • il offre une technologie multiplateforme permettant au ransomware de cibler aussi bien des systèmes Windows que Mac OS X ou Linux.

Ransom32 est distribué dans une archive WinRAR auto-extractible envoyée via des campagnes de phishing.

Ce malware est proposé aux cybercriminels selon un modèle " Ransomware as a Service" via un serveur caché dans le réseau Tor. Ce service permet à une personne malveillante, de configurer sa version personnalisée de Ransom32, via une interface web. Les auteurs du ransomware empochent une commission de 25% sur les gains générés.

 

Un malware Android qui utilise un firewall pour bloquer les applications de sécurité

Au mois de décembre 2015, des chercheurs de Symantec ont découvert Android.Spywaller, un logiciel espion avec des caractéristiques techniques intéressantes.

Ce spyware vise les utilisateurs des systèmes Android en Chine.
Son comportement initial est similaire à celui de nombreux autres malwares mobiles. Il se diffuse via des app stores Android officieuses, puis lors de son lancement, il se dissimule, s’installe en mémoire, et tente de se faire passer pour une application Google imaginaire en affichant une icône "Google Service» sur l’équipement impacté.
Ce malware va ensuite tenter de collecter des informations confidentielles et de les envoyer vers un serveur distant.

L’analyse du code de ce malware a révélé une originalité technique intéressante.
Android.Spywaller utilise une méthode baptisée « disable360Network() », pour contrôler si « Qihoo 360 », une application de sécurité très populaire en Chine, est installée sur l’équipement compromis.
Si c’est le cas, le malware utilise DroidWall, le firewall des systèmes Android, pour bloquer l’application de sécurité « Qihoo 360 ».

Cela met en évidence la menace que peuvent représenter certaines fonctionnalités de logiciels de sécurité légitimes lorsqu’elles sont réutilisées par des logiciels malveillants.

Un malware qui transforme les systèmes qu’il infecte en proxies Internet

Autre découverte intéressante ce dernier mois, celle du malware ProxyBack par des chercheurs de la société Palo Alto.
Ce malware attaque les ordinateurs de particuliers pour les transformer en proxies Internet.
Les ordinateurs infectés utilisent des tunnels HTTP leur permettant de passer à travers les firewalls. Ils ne sont plus utilisés pour camoufler la localisation d’attaquants, mais ils sont enregistrés comme étant des serveurs proxy fiables dans un service de proxy en ligne exploités à partir de la Russie.

Selon Palo Alto, le 23 décembre 2015, plus de 11.000 ordinateurs étaient infectés par ProxyBack.

 

Conclusion

La découverte et l’analyse de ces malwares nous rappellent que les cybers-attaquants sont plein d’imagination et de ressources techniques et que nous ne devons pas relâcher notre vigilance.

Nous devons en particulier rester prudents lors du chargement des applications mobiles, et nous rappeler que le meilleur moyen de protection contre les ransomwares est de faire des sauvegardes régulières.

Précedent Précedent Suivant Suivant Imprimer Imprimer