{"id":19927,"date":"2022-12-29T13:31:01","date_gmt":"2022-12-29T11:31:01","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19927"},"modified":"2022-12-29T13:31:01","modified_gmt":"2022-12-29T11:31:01","slug":"bluenoroff-mark-of-the-web","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/bluenoroff-mark-of-the-web\/19927\/","title":{"rendered":"Contournement de la protection MotW"},"content":{"rendered":"

Habituellement, lorsqu\u2019un utilisateur essaie de lire un document Office qui a \u00e9t\u00e9 re\u00e7u par e-mail ou t\u00e9l\u00e9charg\u00e9 depuis un site Web, Microsoft Office ouvre ce fichier en mode prot\u00e9g\u00e9. Pour ce faire, le syst\u00e8me utilise la protection MotW (Mark-of-the-Web), l\u2019un des m\u00e9canismes de d\u00e9fense par d\u00e9faut de Windows. La protection MotW marque les fichiers t\u00e9l\u00e9charg\u00e9s sur votre ordinateur provenant d\u2019un emplacement Internet\u00a0: les applications connaissent ainsi l\u2019origine des fichiers et peuvent attirer l\u2019attention de l\u2019utilisateur sur un danger potentiel. Il semble toutefois peu judicieux de se fier aveugl\u00e9ment \u00e0 l\u2019efficacit\u00e9 d\u2019un tel m\u00e9canisme d\u2019alerte, car de nombreux cyber-attaquants utilisent d\u00e9j\u00e0 des m\u00e9thodes pour contourner la protection MotW. C\u2019est ainsi que r\u00e9cemment, lors de nos recherches sur les outils utilis\u00e9s par le groupe BlueNoroff (entit\u00e9 soup\u00e7onn\u00e9e de faire partie du groupe Lazarus), nos experts ont d\u00e9couvert que ce groupe employait de nouvelles m\u00e9thodes pour tromper le syst\u00e8me d\u2019exploitation.<\/p>\n

Comment BlueNoroff contourne la protection\u00a0MotW<\/h2>\n

Le m\u00e9canisme Mark-of-the-Web fonctionne ainsi : d\u00e8s qu\u2019un utilisateur (ou un programme) t\u00e9l\u00e9charge un fichier depuis Internet, le syst\u00e8me de fichiers NTFS ajoute l\u2019attribut \u00ab\u00a0depuis Internet\u00a0\u00bb \u00e0 ce fichier. Toutefois, cet attribut n\u2019est pas toujours appos\u00e9. Lorsque vous t\u00e9l\u00e9chargez une archive, tous les fichiers de l\u2019archive re\u00e7oivent cet attribut. Mais une archive n\u2019est pas le seul moyen de transf\u00e9rer un fichier de mani\u00e8re indirecte.<\/p>\n

Les cybercriminels du groupe BlueNoroff ont exp\u00e9riment\u00e9 de nouveaux types de fichiers et d\u2019autres m\u00e9thodes de diffusion de logiciels malveillants. Dans certains cas, ils utilisent le format .iso, fr\u00e9quemment utilis\u00e9 pour stocker des images de disques optiques. L\u2019autre option est un fichier .vhd qui contient g\u00e9n\u00e9ralement un disque dur virtuel. En d\u2019autres termes, les pirates dissimulent la v\u00e9ritable charge utile de l\u2019attaque (un document leurre et un script malveillant) dans l\u2019image ou le disque virtuel.<\/p>\n

Une description technique plus d\u00e9taill\u00e9e et actualis\u00e9e des outils et m\u00e9thodes du groupe BlueNoroff, ainsi que des indicateurs de compromission, est disponible dans l\u2019article r\u00e9dig\u00e9 par nos experts sur le blog Securelist<\/a>.<\/p>\n

Qui sont les cybercriminels BlueNoroff et que recherchent-ils\u00a0?<\/h2>\n

En d\u00e9but d\u2019ann\u00e9e\u00a02022, nous avions d\u00e9j\u00e0 publi\u00e9 un article sur la campagne SnatchCrypto<\/a> qui visait \u00e0 voler des crypto-monnaies. Sur la base d\u2019un certain nombre d\u2019indices, nos chercheurs estiment que c\u2019est le m\u00eame groupe BlueNoroff qui en est \u00e0 l\u2019origine. L\u2019activit\u00e9 observ\u00e9e aujourd\u2019hui vise principalement \u00e0 obtenir un gain financier. Quel que soit l\u2019objectif, l\u2019\u00e9tape finale de l\u2019attaque reste la m\u00eame\u00a0: les cybercriminels installent une porte d\u00e9rob\u00e9e sur l\u2019ordinateur infect\u00e9.<\/p>\n

Le groupe BlueNoroff a enregistr\u00e9 de nombreux domaines qui plagient des soci\u00e9t\u00e9s de capital-risque et d\u2019investissement, ainsi que de grandes banques. \u00c0 en juger par le nom des banques, ainsi que par les documents leurres utilis\u00e9s par les attaquants, ces derniers s\u2019int\u00e9ressent en premier lieu pour l\u2019instant aux cibles qui parlent japonais. Toutefois, au moins une victime du groupe a \u00e9t\u00e9 identifi\u00e9e dans les \u00c9mirats arabes unis. Selon notre exp\u00e9rience, BlueNoroff s\u2019int\u00e9resse principalement aux entreprises li\u00e9es aux crypto-monnaies, ainsi qu\u2019aux soci\u00e9t\u00e9s financi\u00e8res.<\/p>\n

Comment assurer sa s\u00e9curit\u00e9\u00a0?<\/h2>\n

Tout d\u2019abord, il faut cesser de croire que les m\u00e9canismes de protection int\u00e9gr\u00e9s par d\u00e9faut au syst\u00e8me d\u2019exploitation suffisent \u00e0 assurer la s\u00e9curit\u00e9 de votre entreprise. Le m\u00e9canisme\u00a0MotW ne prot\u00e8ge pas contre un employ\u00e9 qui ouvrirait un fichier re\u00e7u d\u2019Internet et ex\u00e9cuterait un script malveillant. Pour que votre entreprise reste \u00e0 l\u2019abri des attaques de BlueNoroff et d\u2019autres groupes\u00a0APT similaires, nos experts recommandent\u00a0:<\/p>\n