adimas - Fotolia
Kapsersky découvre une nouvelle menace furtive qui se cache dans la RAM
Des chercheurs ont identifié une nouvelle menace qui laisse un minimum de trace sur son passage. Et cela en s’appuyant sur des outils Windows standards. Une attaque représentative de malwares qui se dirigent vers une furtivité toujours plus grande.
Echapper à la détection. C’est l’un des principaux objectifs des pirates informatiques. Déjà, en juin 2015, les chercheurs de Kaspersky avaient découvert une nouvelle mouture du tristement célèbre Duqu. Celle-ci présentait une originalité importante : l’essentiel de la charge utile résidait exclusivement en mémoire vive, s’exécutant dans l’ombre de processus légitimes liés à des suites de sécurité, et fournissant des fonctions complètes d’accès à distance et d’espionnage.
Il y a un an, les chercheurs de Palo Alto Networks mettaient de leur côté la main sur un nouveau logiciel malveillant, comparable à ceux de la famille ursnif, mais ne s’appuyant sur aucun fichier déposé sur le poste compromis : il est propagé via des documents Word ; une macro malicieuse invoque le service WMI pour lancer une instance cachée de powershell.exe pour exécuter un script chiffré téléchargé à la volée.
Les chercheurs de Kaspersky indiquent aujourd’hui avoir découvert une nouvelle menace tout aussi furtive, dans le système d’information d’une banque, « après détection de code Meterpreter dans la mémoire physique d’un contrôleur de domaine ». Participant à l’enquête, les chercheurs de l’éditeur ont ensuite « découvert l’utilisation de scripts PowerShell dans le registre Windows », ainsi que le recours à l’utilisateur Netsh pour cacher les échanges entre l’hôte compromis et les serveurs de commande et de contrôle de l’attaquant dans un tunnel. Pour les équipes de Kaspersky, « la détection de cette attaque n’est possible qu’en mémoire vive, dans le réseau et dans le registre ».
Plus de 140 organisations à travers le monde – entreprises, banques, opérateurs télécoms, et administrations – ont été compromises, dont 10 en France et 7 Royaume-Uni. En tout, une quarantaine de pays sont concernés.
Très prudents, les pirates ont là utilisé des domaines en .ga, .ml et .cf qui ne permettent pas de remonter leur trace. Kaspersky estime aujourd’hui que « l’attribution est presqu’impossible ». Tout au plus ses experts s’avancent-ils pour pointer des similitudes avec les groupes Gcman et Carbanak.