logiciel malveillant
Logiquement, la meilleure façon de se protéger et d’éviter d’être victime d’un incident informatique est d’arrêter le programme malveillant avant qu’il n’accède à l’infrastructure de l’entreprise. Ainsi, lorsque les experts développent une stratégie de sécurité de l’information, ils se concentrent sur les vecteurs d’attaque les plus évidents, comme les e-mails. Il est vrai que la plupart des attaques commencent par un e-mail, mais les cybercriminels utilisent diverses méthodes pour distribuer un programme malveillant et ont plus d’un tour dans leur sac. Les experts de l’équipe GReAT (Global Research & Analysis Team) de Kaspersky ont présenté quelques méthodes rares que les escrocs utilisent pour infecter les appareils et distribuer un programme malveillant, et qu’ils ont détectées après avoir analysé les menaces récentes.
Le typosquattage pour imiter un outil
Les créateurs du logiciel malveillant surnommé AdvancedIPSpyware ont décidé d’implanter leur code dans l’outil Advanced IP Scanner utilisé par les administrateurs système. Ils ont créé deux sites qui ont exactement la même mise en page que l’original, ainsi que des noms de domaine qui n’ont qu’une lettre de différente. L’objectif est que la victime qui recherche un outil de surveillance du réseau local, télécharge le programme qui contient la porte dérobée du faux site. Curieusement, la version malveillante du programme Advanced IP Scanner est signée par un certificat numérique légitime qui semble avoir été volé.
Les liens sous les vidéos YouTube
Les opérateurs de OnionPoison ont essayé de faire quelque chose de similaire. Ils ont créé une version malveillante du navigateur Tor. La seule différence est que ce navigateur n’a pas de signature numérique. Afin de distribuer ce faux navigateur, ils ont partagé le lien sur une célèbre chaîne YouTube, qui parle de l’anonymat en ligne, en laissant un commentaire qui explique comment installer Tor. La version infectée ne peut pas être mise à jour et contient une porte dérobée qui télécharge une autre bibliothèque malveillante. Ensuite, les cybercriminels peuvent exécuter des ordres arbitraires dans le système et obtenir l’historique du navigateur ainsi que les identifiants des comptes WeChat et QQ.
Un programme malveillant sur les torrents
Les créateurs de CLoader ont fait croire que leurs programmes d’installation malveillants étaient des jeux piratés et des programmes utiles. Cette méthode s’adressait aux particuliers mais, avec le télétravail, le périmètre de l’entreprise s’est troublé et les torrents malveillants sont désormais une menace pour les ordinateurs professionnels. Les victimes qui ont essayé de télécharger un logiciel malveillant sur les torrents ont obtenu un programme malveillant qui peut s’exécuter comme serveur proxy sur le dispositif infecté et installer un autre programme malveillant, ou valider un accès à distance non autorisé au système.
Un mouvement latéral grâce à des outils légitimes
Les dernières versions du ransomware BlackBasta peuvent se distribuer sur un réseau local en utilisant certaines technologies Microsoft. Après avoir infecté un ordinateur, le ransomware peut se connecter à Active Directory grâce à la bibliothèque LDAP, obtenir une liste des ordinateurs connectés au réseau local, copier le logiciel malveillant sur les appareils puis l’exécuter à distance grâce à la technologie Component Object Model (COM). Cette méthode laisse moins de trace dans le système et rend la détection plus difficile.
Comment vous protéger
Ces exemples montrent que l’infrastructure d’une entreprise a besoin d’une protection complète. Il est vrai qu’une solution qui analyse les messages entrants à la recherche d’hameçonnage, ou de pièces jointes et de liens malveillants, peut vous protéger contre la plupart des attaques. N’oubliez pas que tout ordinateur ayant accès à Internet doit également être équipé d’une protection contre les logiciels malveillants. Afin de mieux comprendre ce qui se passe dans le réseau de votre entreprise, il convient de déployer des solutions de type EDR.
Conseils