Actualités

MosaicLoader : le malware multi-fonction disséminé dans des publicités depuis des résultats de recherche sur le Web !

L’équipe Bitdefender Labs vient de mettre à nu une menace assez critique : nommée MosaicLoader, le malware se cache derrière une publicité depuis les résultats-requêtes Web, ce qui lui permet, une fois implanté sur le terminal-cible, d’ex-filtrer des données en passant par l’installation de portes dérobées…

 

 

La viralité réside dans une archive qui attirent les utilisateurs désireux d’avoir des installateurs illégitimes (une version OS par exemple) avec des clés de licence. En réalité, une fois cet installateur (vérolé, donc) initié sur le terminal, l’infection commence en silence et en arrière-plan. L’ensemble se présente avec des visuels ou icônes asses convaincantes, est-il expliqué par les chercheurs, de manière à duper l’utilisateur. “Les échantillons partagent un trait commun : ils ont une ou deux sections exécutables supplémentaires, nommées avec une combinaison de mots anglais aléatoires concaténés à 8 caractères (la limite maximale dans le format PE). Dans cette section, l’entropie est très élevée, similaire aux données condensées. Cependant, le contenu n’est pas compressé, il contient du code, et c’est le résultat de l’obscurcissement en mosaïque“.

 

Le nom du malware vient du fait que, pour éviter toute identification par des yeux curieux ou attentifs-avertis, le code intègre des fonctions et appels qui ne permettent pas de pouvoir reconstituer le schéma algorithmique de départ. Des micro-fonctions sont instillées pour faire tourner divers téléchargeurs (comme prun.exe) ; le but étant de fonctionnaliser l’ensemble sans pouvoir afficher un code, d’emblée, malveillant ou douteux. “Même si on démêle les sauts, on ne peut pas obtenir des fonctions individuelles, car dans certains cas, le malware omet l’utilisation d’instructions d’appel, sautant directement à l’adresse souhaitée. Le code composé de petits morceaux entrelacés“.

Après quelques étapes, MosaicLoader exploite une attaque par command-and-control qui renvoie à différents domaines (dont cloudshielding, nordit, checkblanco, chunckserving, uptime66, certbooster) ou prun déploiera par commande GET un agent-user (demande-réponse) qui sera accueilli, côté fichier en local, sous %TMP%folder lorsque celui-ci est téléchargé vers le terminal à infection. Une fois cela fait, la commande initiera l’ensemble par un appel Shell (ExecuteW). Une fois que l’ensemble est confortablement instiller et installé, la viralité peut alors s’opérer à distance depuis une table-bible de données (hacking101) intégrant un lot d’URLs qui vont injecter les malwares. Parmi eux, la porte dérobée Glupteba, un crypto-mineur nommé XMRig ou encore un aspirateur de cookies pour voler les identifiants depuis un navigateur Web (Facebook est cité…) voire enregistrer images, audio (microphone), contenus ou encore les touches-clavier. Comme à l’accoutumé, à ce stade, le terminal infecté alimente le vaste réseau des autres terminaux infectés par le cyber-attaquant qui peut étendre la diffusion de la viralité.

Outre le fait d’éviter de télécharger un logiciel ou système illégitime, il est recommandé de vérifier la source ou l’origine (éditeur) de ces logiciels… A veiller !

 

 

Sources :




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2021 - v1.10.0