Les cybercriminels se familiarisent avec BoxedApp pour éviter la détection
Les malfaiteurs de logiciels malveillants montrent de plus en plus une tendance à abuser des applications de compression commerciales légitimes pour échapper à la détection.
Ji Vinopal, chercheur en menaces chez Check Point Research, affirme que la tendance est devenue particulièrement populaire au cours des 12 derniers mois et que BoxedApp est l’un des produits qui semblent être parmi les plus appréciés.
Selon le chercheur, certaines des souches de logiciels malveillants les plus répandues dans le monde abusent de BoxedApp pour échapper à l’analyse statique. La grande majorité sont des chevaux de Troie d’accès à distance (RAT), tels que Agent Tesla, AsyncRAT et QuasarRat, bien que d’autres cas impliquent des souches de ransomware telles que des variantes de LockBit et des infostealers tels que Redline.
Le graphique illustre l’augmentation du nombre d’échantillons BoxedApp malveillants soumis à VirusTotal, gracieuseté de Check Point Research, cliquez pour agrandir
BoxedApp existe depuis plusieurs années, mais les abus de son SDK ont augmenté à partir de mars 2023. Il offre une série d’avantages aux attaquants, une variété qui, selon Check Point Research, dépasse les inconvénients.
Parmi les fonctionnalités les plus notables proposées par BoxedApp, celles qui intéresseraient particulièrement les mauvais acteurs sont :
-
Stockage virtuel
-
Processus virtuels
-
Registre virtuel
L’expert en sécurité des applications Sean Wright nous a déclaré : « Les processus virtuels peuvent rendre plus difficile la détection par les systèmes anti-malware et autres systèmes de protection des points finaux des logiciels malveillants exécutés via le SDK BoxedApp. Beaucoup de ces produits reposent sur le fait que ces processus s’exécutent directement sur le système. par opposition à un processus virtualisé, qui pourrait alors être caché aux outils de protection.
« Une façon plus simple d’y penser serait peut-être d’imaginer un processus exécuté dans une machine virtuelle, même si cela serait probablement un peu plus nuancé que cela. Ainsi, du point de vue de l’attaquant, cela aide à empêcher la détection, ce qui serait l’un de leurs principaux objectifs. Plus ils restent indétectés, plus ils pourraient potentiellement accéder à des données. »
Les programmes BoxedApp ont tendance à générer un taux de faux positifs élevé lorsqu’ils sont analysés par des solutions antivirus, selon Check Point Research. Même les applications non malveillantes créées à l’aide de BoxedApp, comme un simple programme « Hello World », sont signalées par de nombreux moteurs antivirus, ajoute le rapport.
Une analyse de 1 200 échantillons véritablement malveillants soumis à VirusTotal, la plate-forme de logiciels malveillants appartenant à Google, qui montre les solutions des fournisseurs qui envoient des alertes pour différentes charges utiles, a révélé que 25 % d’entre eux étaient signalés lorsqu’ils étaient emballés à l’aide de BoxedApp.
Cependant, cela peut être considéré comme négatif ou positif, selon vos perspectives. Bien que les logiciels malveillants packagés par BoxedApp aient de bonnes chances de déclencher des avertissements dans le SOC d’une organisation, ils peuvent également faire le jeu des attaquants, car les équipes de sécurité peuvent désactiver les alertes relatives aux applications exécutant le SDK BoxedApp.
« Mon conseil aux organisations est de limiter si possible l’utilisation des applications BoxedApp », a déclaré Wright. « Si vous devez utiliser ce type d’applications, envisagez d’exploiter des contrôles tels que la signature de ces applications, qui, comme [Check Point Research’s] l’article indique que cela peut également aider à réduire les taux de faux positifs.
Le graphique présente des échantillons BoxedApp malveillants par pays soumis à VirusTotal, gracieuseté de Check Point Research, cliquez pour agrandir
En examinant plus en détail les soumissions de VirusTotal, Vinopal a constaté que la majorité provenait de Turquie, des États-Unis et d’Allemagne, bien que de faibles pourcentages aient été signalés dans des pays du monde entier.
« La plupart des échantillons malveillants attribués ont été utilisés dans des attaques contre des institutions financières et des industries gouvernementales », a écrit le chercheur sur son blog. « L’utilisation des produits BoxedApp pour regrouper les charges utiles malveillantes a permis aux attaquants de réduire le taux de détection, de renforcer leur analyse et d’utiliser les capacités avancées du SDK BoxedApp, par exemple le stockage virtuel, dont le développement prendrait normalement beaucoup de temps à partir de zéro. »
Le registre a contacté BoxedApp pour obtenir des commentaires, mais il n’a pas immédiatement répondu.
Pour ceux qui recherchent des moyens de mieux détecter les abus de BoxedApp, Check Point Research fournit un ensemble de signatures Yara dans son rapport pour aider à détecter le packer tout en extrayant tous les détails et hachages binaires de l’application compressée.