Les pirates utilisent Microsoft Build Engine pour déployer des malwares sans fichiers

0

Les pirates informatique abusent de Microsoft Build Engine (MSBuild) pour propager des chevaux de Troie d’accès à distance sans fichier et des logiciels malveillants de vol de mots de passe sur des systèmes Windows ciblés.

La campagne activement en cours aurait vu le jour le mois dernier, ont déclaré des chercheurs de la société de cybersécurité Anomali, ajoutant que les fichiers de construction malveillants étaient intégrés avec des exécutables encodés et un shellcode qui déploient des portes dérobées, permettant aux adversaires de prendre le contrôle des machines des victimes et de voler des informations sensibles.

Microsoft Build Engine est un outil de création open-source pour .NET et Visual Studio développé par Microsoft qui permet de compiler le code source, d’empaqueter, de tester et de déployer des applications.

microsoft build engine

En utilisant Microsoft Build Engine pour compromettre une machine sans fichier, l’idée est de rester indétectable et de contrecarrer la détection, car un tel malware utilise une application légitime pour charger le code d’attaque en mémoire, ne laissant ainsi aucune trace d’infection sur le système et donnant aux attaquants un haut niveau de furtivité.

microsoft build engine

Au moment de la rédaction, seuls deux fournisseurs de sécurité signalent l’un des fichiers .proj de Microsoft Build Engine (« vwnfmo.lnk« ) comme malveillant, tandis qu’un deuxième échantillon (« 72214c84e2.proj« ) téléchargé sur VirusTotal le 18 avril n’est pas détecté par tous les moteurs anti-malware. La majorité des échantillons analysés par Anomali livrent le RAT Remcos, quelques autres livrant également le RAT Quasar et RedLine Stealer.

Remcos (alias logiciel de contrôle et de surveillance à distance), une fois installé, accorde un accès complet à l’adversaire distant, ses fonctionnalités allant de la capture de frappes à l’exécution de commandes arbitraires et à l’enregistrement de microphones et de webcams, tandis que Quasar est un RAT open-source basé sur .NET qui a des capacités de keylogging, de vol de mot de passe etc…

Redline Stealer, comme son nom l’indique, est un logiciel malveillant qui récupère les informations d’identification des navigateurs, des VPN et des clients de messagerie, en plus de voler les mots de passe et les portefeuilles associés aux applications de crypto-monnaie.

«Les pirates informatique derrière cette campagne ont utilisé la propagation sans fichier comme un moyen de contourner les mesures de sécurité, et cette technique est utilisée par les hackers pour une variété d’objectifs et de motivations», ont déclaré, Tara Gould et Gage Mele, les chercheurs d’Anomali. «Cette campagne souligne que le recours aux logiciels antivirus est insuffisant pour la cyberdéfense, et que l’utilisation de codes légitimes pour cacher les logiciels malveillants est efficace et croît de façon exponentielle.»

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire