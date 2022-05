Un logiciel malveillant sans fichier pourrait se cacher dans vos journaux d'événements Windows.



Un autre jour, une autre menace de malware. Oui, un nouveau mode de diffusion des logiciels malveillants est apparu récemment. Ce nouveau moyen n'implique pas directement des fichiers mais les journaux d'événements de Windows.







Selon les chercheurs en sécurité de Kaspersky, un client a montré ce nouveau comportement. La méthode consiste à injecter des charges utiles de shellcode dans les journaux d'événements des services de gestion des clés (KMS) de Windows. Un dropper de malware personnalisé parvient à effectuer cette tâche. Le dropper copie ensuite l'exécutable WerFault.exe dans un nouveau dossier, puis place un binaire crypté à ce même emplacement. C'est la première fois que cette méthode de diffusion du malware est observée "dans la nature".







Selon Denis Legezo, chercheur principal en sécurité chez Kaspersky, la DLL est essentiellement inutile en soi. Cependant, maintenant que la DLL est en cours d'exécution, elle peut être utilisée pour exécuter du code en mémoire, code qu'elle peut assembler à partir de morceaux tirés directement du journal des événements de Windows. C'est ce qui la rend dangereuse.



De nombreuses plateformes de détection de logiciels malveillants et de virus disposent généralement de blocs de code que même les scanners de logiciels malveillants et de virus heuristiques peuvent attraper sans trop de "travail" de la part des scanners. Cependant, cette version particulièrement méchante des choses peut décomposer tout ce code en morceaux de 8 Ko, à des intervalles apparemment arbitraires dans le code, les stocker dans des événements, puis les réassembler plus tard. Cela signifie qu'il est possible pour les détecteurs de logiciels malveillants de ne pas les voir, car ils pourraient être complètement inoffensifs en soi.







Selon eux, la détection par Kaspersky a eu lieu en février, et ils estiment que l'attaque particulière qu'ils ont étudiée était très ciblée. En fait, il semble qu'une prévention supplémentaire de la détection des logiciels malveillants ait été placée dans le code. Cela s'ajoute à la méthode de stockage du code Windows Event. Ils pensent que l'objectif de l'attaque était de voler des données, comme c'est souvent le cas pour les logiciels malveillants ces derniers temps. Après tout, nous avons vu toute une série de logiciels malveillants bancaires pour les appareils mobiles.



En ce qui concerne la sécurité de vos appareils, il suffit souvent de se méfier. Faites très attention aux pièces jointes que vous ouvrez, aux e-mails que vous acceptez et à ce que vous installez. Kaspersky a gentiment publié les hachages de tous les fichiers associés à l'attaque qu'il a détectée dans son rapport. Il est important de noter qu'un certain nombre de ces fichiers sont inoffensifs et peuvent même être des fichiers système nécessaires.



HOTHARDWARE