Comment des logiciels malveillants virtualisés échappant à la sécurité exploitent les publicités de Google et infectent les PC.



L'année dernière, on a constaté une augmentation du nombre d'acteurs de la menace abusant des macros Microsoft Office pour infecter les systèmes de leurs victimes avec des logiciels malveillants, ce qui a incité Microsoft à bloquer les macros intégrées dans les documents téléchargés sur Internet. En réaction, les acteurs de la menace ont dû se tourner vers d'autres méthodes de distribution et d'infection des malwares, notamment le malvertising. Le malvertising consiste à placer des publicités qui distribuent directement des malwares ou incitent les utilisateurs à les télécharger. De nouvelles recherches menées par la société de cybersécurité SentinelLabs montrent que, dernièrement, les logiciels malveillants distribués de cette manière utilisent la virtualisation pour cacher leur nature malveillante aux scanners antivirus.







Les chercheurs de SentinelLabs ont récemment observé une famille de chargeurs de logiciels malveillants qui utilisent la virtualisation KoiVM .NET, qui obscurcit le code en le remplaçant par un code virtualisé qui n'est compris que par le cadre de virtualisation. Lorsque les chargeurs de logiciels malveillants sont lancés, un moteur de machine virtuelle traduit le code obscurci en code original. Ainsi, le code malveillant est masqué jusqu'à ce qu'il soit déjà en cours d'exécution. Il est alors trop tard pour que les logiciels antivirus détectent de manière préventive la présence de logiciels malveillants et avertissent l'utilisateur.







Les chercheurs ont baptisé ce type de chargeurs de logiciels malveillants "MalVirt". Beaucoup de ces chargeurs utilisent des techniques d'obscurcissement supplémentaires, notamment le cryptage de chaînes malveillantes et des serveurs de commande et de contrôle (C2) leurrés. SentinelLabs suit actuellement une campagne MalVirt en cours qui distribue des logiciels malveillants voleurs d'informations, à savoir Formbook et XLoader. Ce type de malware exfiltre les mots de passe et autres informations sensibles des systèmes infectés.



Cette campagne abuse des publicités Google pour placer des liens vers des sites web malveillants en tête des résultats de recherche Google. Ces sites Web imitent ceux de logiciels légitimes, portant des noms de domaine similaires et présentant souvent une apparence presque identique. Cependant, lorsque les utilisateurs tentent de télécharger le logiciel annoncé à partir de ces sites Web, ces derniers proposent des chargeurs MalVirt à la place. Afin d'éviter de télécharger accidentellement un logiciel malveillant à partir de l'un de ces sites, il est préférable que les utilisateurs évitent de cliquer sur les résultats de recherche portant le label "Annonce".



