De fausses mises à jour du logiciel Google propagent de nouveaux ransomwares
Les acteurs de la menace utilisent de plus en plus de fausses mises à jour logicielles Microsoft et Google pour tenter d’infiltrer des logiciels malveillants sur les systèmes cibles.
Le dernier exemple en date est « HavanaCrypt », un nouvel outil de ransomware que des chercheurs de Trend Micro ont récemment découvert dans la nature déguisé en application Google Software Update. Le serveur de commande et de contrôle (C2) du malware est hébergé sur une adresse IP d’hébergement Web Microsoft, ce qui est assez rare pour les ransomwares, selon Trend Micro.
Selon les chercheurs, il convient également de noter les nombreuses techniques de HavanaCrypt pour vérifier s’il fonctionne dans un environnement virtuel ; l’utilisation par le logiciel malveillant du code du gestionnaire de clés open source KeePass Password Safe lors du chiffrement ; et son utilisation d’une fonction .Net appelée « QueueUserWorkItem » pour accélérer le chiffrement. Trend Micro note que le logiciel malveillant est probablement un travail en cours car il ne dépose pas de demande de rançon sur les systèmes infectés.
HavanaCrypt fait partie d’un nombre croissant d’outils de ransomware et d’autres logiciels malveillants qui ont été distribués ces derniers mois sous la forme de fausses mises à jour pour Windows 10, Microsoft Exchange et Google Chrome. En mai, des chercheurs en sécurité ont repéré un ransomware surnommé « Magniber » faisant le tour déguisé en mises à jour de Windows 10. Plus tôt cette année, des chercheurs de Malwarebytes ont observé les opérateurs du kit d’exploitation Magnitude essayant de tromper les utilisateurs pour qu’ils le téléchargent en habillant le logiciel malveillant comme une mise à jour Microsoft Edge.
Comme Malwarebytes l’a noté à l’époque, les fausses mises à jour Flash faisaient partie intégrante des campagnes de logiciels malveillants sur le Web jusqu’à ce qu’Adobe abandonne finalement la technologie en raison de problèmes de sécurité. Depuis lors, les attaquants utilisent de fausses versions d’autres produits logiciels fréquemment mis à jour pour tenter d’inciter les utilisateurs à télécharger leurs logiciels malveillants, les navigateurs étant l’un des plus fréquemment abusés.
La création de fausses mises à jour logicielles est triviale pour les attaquants, ils ont donc tendance à les utiliser pour distribuer toutes les classes de logiciels malveillants, y compris les ransomwares, les voleurs d’informations et les chevaux de Troie, déclare un analyste d’Intel 471 qui a requis l’anonymat. « Un utilisateur non technique pourrait être trompé par de telles techniques, mais les analystes du SOC ou les intervenants en cas d’incident ne seront probablement pas dupes », déclare l’analyste.
Les experts en sécurité ont depuis longtemps noté la nécessité pour les organisations de mettre en place des défenses multicouches pour se défendre contre les ransomwares et autres menaces. Cela inclut des contrôles pour la détection et la réponse des points finaux, des capacités de surveillance du comportement des utilisateurs et des entités, une segmentation du réseau pour minimiser les dommages et limiter les mouvements latéraux, le chiffrement et un contrôle d’identité et d’accès fort, y compris l’authentification multifacteur.
Étant donné que les adversaires ciblent souvent les utilisateurs finaux, il est également essentiel que les organisations aient mis en place de solides pratiques pour éduquer les utilisateurs sur les risques de phishing et les escroqueries d’ingénierie sociale conçues pour les amener à télécharger des logiciels malveillants ou à suivre des liens vers des sites de collecte d’informations d’identification.
Comment fonctionne HavanaCrypt
HavanaCrypt est un logiciel malveillant .Net qui utilise un outil open source appelé Obfuscar pour obscurcir son code. Une fois déployé sur un système, HavanaCrypt vérifie d’abord si le registre « GoogleUpdate » est présent sur le système et ne poursuit sa routine que si le logiciel malveillant détermine que le registre n’est pas présent.
Le logiciel malveillant passe ensuite par un processus en quatre étapes pour déterminer si la machine infectée se trouve dans un environnement virtualisé. Tout d’abord, il vérifie le système pour les services tels que VMWare Tools et vmmouse que les machines virtuelles utilisent généralement. Ensuite, il recherche les fichiers liés aux applications virtuelles, puis vérifie les noms de fichiers spécifiques utilisés dans les environnements virtuels. Enfin, il compare l’adresse MAC des systèmes infectés avec les préfixes d’identifiant uniques généralement utilisés dans les paramètres de la machine virtuelle. Si l’une des vérifications montre que la machine infectée se trouve dans un environnement virtuel, le logiciel malveillant se termine de lui-même, a déclaré Trend Micro.
Une fois que HavanaCrypt a déterminé qu’il ne s’exécute pas dans un environnement virtuel, le logiciel malveillant récupère et exécute un fichier de commandes à partir d’un serveur C2 hébergé sur un service d’hébergement Web Microsoft légitime. Le fichier de commandes contient des commandes permettant de configurer Windows Defender de manière à autoriser les menaces détectées. Le logiciel malveillant arrête également une longue liste de processus, dont beaucoup sont liés à des applications de base de données telles que SQL et MySQL ou à des applications de bureau telles que Microsoft Office.
Les prochaines étapes de HavanaCrypt incluent la suppression des clichés instantanés sur les systèmes infectés, la suppression des fonctions de restauration des données et la collecte d’informations système telles que le nombre de processeurs du système, le type de processeur, le numéro de produit et la version du BIOS. Le logiciel malveillant utilise la fonction QueueUserWorkItem et le code de KeePass Password Safe dans le cadre du processus de cryptage.
« QueueUserWorkItem est une technique standard pour créer des pools de threads », explique l’analyste d’Intel 471. « L’utilisation de pools de threads accélérera le chiffrement des fichiers sur la machine victime. »
Avec KeePass, l’auteur du ransomware a copié le code de l’outil de gestion des mots de passe et a utilisé ce code dans son projet de ransomware. « Le code copié est utilisé pour générer des clés de chiffrement pseudo-aléatoires », note l’analyste. « Si les clés de chiffrement étaient générées de manière prévisible et reproductible, il serait alors possible pour les chercheurs de logiciels malveillants de développer des outils de déchiffrement. »
L’utilisation par l’attaquant d’un service d’hébergement Microsoft pour le serveur C2 met en évidence la tendance plus large des attaquants à dissimuler l’infrastructure malveillante dans des services légitimes pour échapper à la détection. « Il y a beaucoup de problèmes hébergés dans les environnements cloud aujourd’hui, qu’il s’agisse d’Amazon, Google ou Microsoft et bien d’autres », déclare John Bambenek, principal chasseur de menaces chez Netenrich. « La nature hautement transitoire des environnements rend les systèmes de réputation inutiles. »