Face à l’augmentation des menaces numériques, les utilisateurs d’Internet doivent être hyper vigilants, notamment quand ils sont tentés de télécharger des logiciels gratuits ou piratés. Récemment, une technique de distribution de malware sophistiquée a été mise en lumière, impliquant l’utilisation de versions altérées de logiciels populaires comme appâts pour déployer des chargeurs malveillants.
Découverte de la méthode d’exploitation par des logiciels piratés
Implémentation de Hijack Loader via des applications usurpées
Des chercheurs en cybersécurité ont identifié une campagne où les cybercriminels incitent le téléchargement d’archives protégées par mot de passe, prétendant contenir des applications légitimes telles que Cisco Webex Meetings. En réalité, ces archives contiennent Hijack Loader, un logiciel de chargement de malware qui initie l’installation de stealers d’informations.
La technique du DLL side-loading pour une attaque discrète
L’analyse technique révèle que le malware utilise une tactique de DLL side-loading, permettant à Hijack Loader de lancer furtivement le Vidar Stealer. Ce dernier script, écrit en AutoIt, est conçu pour outrepasser le contrôle d’accès utilisateur (UAC) et escalader les privilèges via l’interface CMSTPLUA COM, avec pour but de dérober des informations sensibles telles que les identifiants stockés dans les navigateurs web.
Évolution des techniques de dissémination des malware
Usage accru des script PowerShell et de documents trompeurs
La recrudescence des attaques utilise des scripts PowerShell exécutés manuellement pour adresser des problèmes fictifs sur des sites web, véhiculant ainsi des chargeurs comme Hijack Loader. Ces scripts mènent à l’installation de malware divers, incluant des voleurs d’informations comme Lumma Stealer, qui peut télécharger des malware additionnels et opérer des transactions cryptographiques détournées.
Détection et prévention: un défi technique
Des experts chez Proofpoint soulignent les difficultés de détection de ces attaques étant donné que les victimes exécutent manuellement le code malveillant, ce qui rend les logiciels antivirus et les solutions EDR moins efficaces. Leur capacité à inspecter le contenu copié dans le presse-papier étant limitée, l’anticipation et le blocage avant la présentation du HTML ou du site infecté sont critiques.
Notre entreprise, CyberCare, est spécialisée dans la fourniture de solutions avancées de cybersécurité et de monitoring en temps réel, capables de détecter et de bloquer ce genre de menaces avant qu’elles ne pénètrent vos systèmes d’information.
