Logiciel malveillant DownEx utilisé dans une campagne d'espionnage
Un nouveau type de malware appelé DownEx a été découvert par des chercheurs roumains en cybersécurité.
Il est utilisé dans une campagne d'espionnage sophistiquée qui cible des organisations gouvernementales en Asie centrale, avec des preuves suggérant l'implication d'acteurs de la menace basés en Russie. Les attaques sont menées par le biais d'e-mails de harponnage contenant une charge utile piégée, déguisée en fichier Microsoft Word.
Une fois la pièce jointe ouverte, un document leurre s'affiche tandis qu'une application HTML malveillante s'exécute en arrière-plan. Ce fichier HTA est conçu pour établir un contact avec un serveur de commande et de contrôle distant afin de récupérer une charge utile de l'étape suivante, qui est considérée comme une porte dérobée pour établir la persistance. Les attaquants utilisent également des outils personnalisés pour les activités de post-exploitation, y compris des binaires basés sur C/C++ pour énumérer les ressources réseau, un script Python pour recevoir des instructions pour voler des fichiers, supprimer d'autres logiciels malveillants et capturer des captures d'écran, et un logiciel malveillant basé sur C++ appelé DownEx pour exfiltrer des fichiers vers le serveur C2.
Deux autres variantes de DownEx ont également été découvertes. Les chercheurs ont en outre noté qu'il s'agit d'une attaque sans fichier, ce qui signifie que le script malveillant n'existe qu'en mémoire et n'arrive jamais sur les disques de la victime.
Qu'est-ce qu'un logiciel malveillant sans fichier et qu'est-ce qui le rend particulièrement dangereux ?
Un malware sans fichier est un type de logiciel malveillant qui opère dans la mémoire d'un ordinateur, sans laisser de traces sur le disque dur. Cela rend la détection et la suppression particulièrement difficiles à l'aide d'un logiciel antivirus traditionnel, car il n'y a pas de fichiers à analyser. Au lieu de s'appuyer sur un fichier ou un exécutable, les logiciels malveillants sans fichier sont souvent diffusés via des techniques telles que l'ingénierie sociale, les exploits ou les macros malveillantes dans les documents.
L'une des principales caractéristiques des logiciels malveillants sans fichier est qu'ils utilisent des programmes ou des outils légitimes déjà présents sur le système, tels que PowerShell ou Windows Management Instrumentation (WMI), pour mener à bien leurs activités malveillantes. Ce faisant, les logiciels malveillants sans fichier peuvent se fondre dans l'activité légitime du système et échapper à la détection par les logiciels antivirus traditionnels.
Une autre raison pour laquelle les logiciels malveillants sans fichier sont particulièrement dangereux est qu'ils peuvent souvent contourner les mesures de protection des terminaux telles que les pare-feu, les systèmes de détection et de prévention des intrusions (IDS/IPS) et d'autres outils de sécurité qui reposent sur des signatures basées sur des fichiers ou des algorithmes de correspondance de modèles. De plus, comme il n'écrit rien sur le disque, il peut rester non détecté pendant de plus longues périodes et a plus de chances d'atteindre ses objectifs avant d'être découvert.
Les logiciels malveillants sans fichier sont souvent utilisés dans des attaques ciblées, telles que celles contre des institutions financières ou d'autres cibles de grande valeur, où le but est d'accéder à des informations ou à des systèmes sensibles. Il peut également être utilisé pour des attaques plus répandues, telles que des campagnes de rançongiciels, où les attaquants cherchent à infecter autant de systèmes que possible.
