Malware inférieur à zéro employé par un acteur menaçant du secteur privé

Des chercheurs en sécurité du Threat Intelligence Center de Microsoft ont publié un rapport sur un logiciel malveillant développé par un acteur menaçant du secteur privé.

Le logiciel malveillant en question s'appelle Subzero et l'entité qui l'utilise s'appelle KNOTWEED, censée opérer depuis l'Autriche. Le malware Subzero a été utilisé dans des attaques utilisant plusieurs vulnérabilités zero-day dans Windows et Adobe Reader.

Le malware Subzero a été principalement distribué à l'aide des exploits mentionnés ci-dessus, mais a également utilisé d'autres vecteurs d'attaque. Les cibles qui ont subi Subzero étaient situées en Autriche, au Royaume-Uni et au Panama.

Le logiciel malveillant Subzero aurait la capacité d'échapper aux environnements de bac à sable via une DLL malveillante écrite sur le disque via le processus Adobe, permettant éventuellement "l'exécution de code au niveau du système".

Le logiciel malveillant a également été déployé à l'aide d'un fichier Excel malveillant, habillé pour ressembler à un document immobilier. Selon Microsoft, la macro malveillante contenue dans le fichier Excel était fortement masquée à l'aide de chaînes de texte et de chaînes de macro Excel 4.0.

Le malware Subzero est détecté et répertorié comme "Jumplump" et "Corelump" dans Windows Defender, faisant respectivement référence au chargeur persistant et à la charge utile principale du malware.

August 3, 2022