lolloj - Fotolia
Un nouveau malware qui ne laisse pas de trace
S’appuyant sur des scripts PowerShell exécutés directement en mémoire vive, PowerSniff ne laisse que peu de trace, si ce n’est son vecteur d’infection initiale.
Les chercheurs de Palo Alto Networks viennent de mettre la main sur un nouveau logiciel malveillant, comparable à ceux de la famille ursnif, et ne s’appuyant sur aucun fichier déposé sur le poste compromis.
Baptisé PowerSniff par l’équipementier, ce nouveau logiciel malveillant se diffuse via des documents Word joints à des e-mails. Ces derniers apparaissent relativement ciblés : « la majorité d’entre eux contient des informations spécifiques au sujet de l’entreprise de la victime, comme son numéro de téléphone et adresse physique, jusqu’à parfois le nom de la personne ». De quoi, comme le relève Palo Alto, « obtenir un taux d’ouverture des pièces jointes plus élevé » qu’avec un banal pourriel.
Dans un billet de blog, les chercheurs décrivent un fonctionnement courant : une fois le document ouvert, une macro malicieuse s’exécute. Celle-ci « invoque le service WMI pour lancer une instance cachée de powershell.exe » avec des arguments déclenchant le téléchargement d’un script PowerShell encodé. Celui-ci est alors décrypté et exécuté.
Il commence par chercher à savoir s’il s’exécute dans un environnement virtualisé de type bac à sable, en commençant par chercher des noms d’utilisateur qui pourraient le trahir – « MALTEST, TEQUILABOOMBOOM, SANDBOX, VIRUS, MALWARE ». Mais il cherche également des librairies typiques des environnements de bac à sable, entre autres tests.
Commence alors la reconnaissance du poste compromis, à la recherche d’indices susceptibles de trahir la nature de l’organisation ou du groupe de travail auquel il est rattaché. Jusqu’à vérifier s’il ne s’agirait pas d’un terminal de point de vente.
Si le code identifie le poste compromis comme potentiellement intéressant, il en informe ses serveurs de commande et de contrôle. De là, il doit récupérer une librairie à chargement dynamique temporairement stockée sur le disque dur avant son chargement en mémoire.
Pour Palo Alto, PowerSniff devrait être considéré comme une « menace élevée », « en raison des détails spécifiques à l’organisation contenus dans les e-mails et à l’utilisation d’une malware résident en mémoire ».