Les experts en cybersécurité ont récemment découvert une nouvelle technique pour stocker des logiciels malveillants sur un PC sans méfiance. Utilisé par les pirates, il consiste à glisser des logiciels malveillants dans les journaux d’événements de Windows 11. Pour aggraver les choses, cette nouvelle technique est conçue pour rendre le processus d’infection presque impossible à détecter jusqu’à ce qu’il soit trop tard.
Des chercheurs de Kaspersky (Merci Ordinateur qui bipe) a analysé un échantillon récent du logiciel malveillant sur l’ordinateur d’un client en février de cette année. Au cours de leur analyse, ils ont découvert qu’un pirate était capable d’implanter un logiciel malveillant sans fichier dans le système de fichiers d’une victime en le cachant dans vos journaux d’événements Windows. Une première, selon Kaspersky.
Cette attaque sophistiquée injecte des charges utiles de shellcode dans les journaux d’événements Windows dans le KMS (Key Management Services) via un compte-gouttes de logiciels malveillants personnalisé et se cache essentiellement à la vue de tous.
Le dropper charge ensuite un code malveillant en profitant d’un exploit DLL et se cache sous la forme d’une copie d’un fichier d’erreur légitime. Ainsi, même si vous vérifiez vos journaux d’événements, cela ne ressemblera à rien d’extraordinaire. L’attaquant peut alors installer un virus cheval de Troie (ou, dans ce cas, un certain nombre de chevaux de Troie), qui fera des ravages sur un système.
Denis Legezo, chercheur principal en sécurité chez Kaspersky, a déclaré à Bleeping Computer que « l’acteur derrière la campagne est plutôt habile par lui-même, ou du moins dispose d’un bon ensemble d’outils commerciaux assez approfondis ». Le but de l’attaque est d’obtenir des données utilisateur précieuses. .
Kaspersky n’a jamais révélé qui était l’entreprise touchée par ce qu’elle appelle une « campagne ciblée ». La victime de cette attaque, dans ce cas, a été amenée à télécharger une archive RAR à partir d’un service de partage de fichiers légitime. Une fois téléchargé, il s’exécute lui-même secrètement, et vous êtes pratiquement foutu.
Alors, comment se défendre contre une attaque comme celle-ci ? Vous devez continuer à suivre les meilleures pratiques de cybersécurité de votre entreprise, comme ne jamais cliquer sur des liens suspects dans les e-mails et les SMS. S’assurer que vous savez ce que vous téléchargez et d’où il vient avant d’ouvrir des fichiers ou des dossiers reste l’une des meilleures défenses que nous ayons contre les arts du piratage obscur.
