Les logiciels malveillants furtifs montrent pourquoi vous ne devriez pas ouvrir les e-mails inconnus

8 juillet 2022 Hibou Gourou

Un nouveau type de logiciel malveillant a récemment été découvert et a réussi à échapper à 56 produits antivirus distincts avant de finalement se faire prendre.

Le logiciel malveillant, lorsqu'il est exécuté, peut causer de graves dommages à votre appareil – et il semble être si bien conçu qu'il pourrait être le produit d'acteurs de l'État-nation. L'ouverture d'une pièce jointe à un e-mail est tout ce qu'il faut pour lui accorder suffisamment d'entrée pour faire des ravages.

Mains sur un ordinateur portable. — EThamPhoto / Getty Images

L'unité 42, une équipe de renseignement sur les menaces de Palo Alto, vient de publier un rapport sur un logiciel malveillant qui a réussi à éviter d'être détecté par 56 produits antivirus massifs. Selon l'équipe, la façon dont le malware a été construit, empaqueté et déployé est très similaire aux diverses techniques utilisées par le groupe de menaces APT29, également connu sous les noms d'Iron Ritual et Cozy Bear. Ce groupe a été attribué au service russe de renseignement extérieur (SVR), ce qui indique que le logiciel malveillant en question pourrait être une affaire d'État-nation.

Selon l'unité 42, le malware a été repéré pour la première fois en mai 2022, et il a été trouvé caché dans un type de fichier assez étrange – ISO, qui est un fichier image disque utilisé pour transporter l'intégralité du contenu d'un disque optique. Le fichier contient une charge utile malveillante qui, selon Unit 42, a été créée à l'aide d'un outil appelé Brute Ratel (BRC4). BRC4 se targue d'être difficile à détecter, citant le fait que les auteurs de l'outil ont procédé à une ingénierie inverse du logiciel antivirus afin de rendre l'outil encore plus furtif. Brute Ratel est particulièrement populaire auprès d'APT29, ce qui ajoute du poids à l'affirmation selon laquelle ce logiciel malveillant pourrait être lié au groupe russe Cozy Bear.

Le fichier ISO prétend être le curriculum vitae (CV) d'une personne nommée Roshan Bandara. À l'arrivée dans la boîte aux lettres du destinataire, il ne fait rien, mais lorsqu'il est cliqué, il se monte comme un lecteur Windows et affiche un fichier appelé "Roshan-Bandara_CV_Dialog". À ce stade, il est facile de se tromper – le fichier semble être un fichier Microsoft Word typique, mais si vous cliquez dessus, il exécute cmd.exe et procède à l'installation de BRC4.

Lorsque cela est fait, un certain nombre de choses peuvent arriver à votre PC – tout dépend des intentions de l'attaquant.

L'unité 42 note que la découverte de ce malware est inquiétante pour un certain nombre de raisons. D'une part, il y a une forte probabilité qu'il soit lié à APT29. Outre les raisons énumérées ci-dessus, le fichier ISO a été créé le même jour qu'une nouvelle version de BRC4 a été rendue publique. Cela suggère que les acteurs des cyberattaques soutenus par l'État pourraient programmer leurs attaques pour les déployer aux moments les plus opportuns. APT29 a également utilisé des ISO malveillants dans le passé, donc tout semble s'aligner.

La quasi-indétectabilité est inquiétante en soi. Pour que les logiciels malveillants soient aussi furtifs, il faut beaucoup de travail, et cela suggère que de telles attaques pourraient constituer une menace réelle lorsqu'elles sont utilisées par la mauvaise équipe de personnes.

Comment pouvez-vous rester en sécurité?

Une serrure de sécurité numérique. — zf L / Getty Images

Au milieu des rapports fréquents selon lesquels les cyberattaques ont connu une augmentation massive ces dernières années, on peut espérer que de nombreux utilisateurs sont désormais plus conscients des dangers de trop faire confiance à des personnes aléatoires et à leurs fichiers. Cependant, ces attaques proviennent parfois de sources inattendues et sous diverses formes. D'énormes attaques par déni de service distribué (DDoS) se produisent tout le temps, mais elles constituent davantage un problème pour les utilisateurs en entreprise. Parfois, un logiciel que nous connaissons et auquel nous faisons confiance peut être utilisé comme leurre pour nous inciter à faire confiance au téléchargement. Comment rester en sécurité lorsque le danger semble rôder à chaque coin de rue ?

Tout d'abord, il est important de réaliser qu'un grand nombre de ces cyberattaques à grande échelle visent des organisations cibles – il est peu probable que des individus soient ciblés. Cependant, dans ce cas particulier où le logiciel malveillant est caché dans un fichier ISO qui se présente comme un CV, il pourrait vraisemblablement être ouvert par des personnes dans divers contextes RH, y compris ceux des petites organisations. Les grandes entreprises ont souvent des services informatiques plus robustes qui ne permettraient pas l'ouverture d'un fichier ISO inattendu, mais vous ne savez jamais quand quelque chose pourrait passer entre les mailles du filet.

Avec ce qui précède à l'esprit, ce n'est jamais une mauvaise idée de suivre une règle très simple que beaucoup d'entre nous oublient encore parfois – ne jamais ouvrir les pièces jointes de destinataires inconnus. Cela peut être difficile pour un service des ressources humaines qui collecte activement des CV, mais vous, en tant qu'individu, pouvez mettre en œuvre cette règle dans votre vie quotidienne et ne rien manquer. Ce n'est pas non plus une mauvaise idée de choisir l'une des meilleures options de logiciel antivirus disponibles. Cependant, la plus grande sécurité peut être obtenue simplement en naviguant consciencieusement et en ne visitant pas des sites Web qui pourraient ne pas sembler trop légitimes, ainsi qu'en faisant attention à vos e-mails.