Des pirates ont été observés déguisant le cheval de Troie d'accès à distance PlugRAT en un débogueur Microsoft pour contourner les solutions antivirus et compromettre les terminaux ciblés.
Les experts en cybersécurité de Trend Micro ont récemment détecté un acteur malveillant non identifié utilisant x64dbg pour faire proliférer le cheval de Troie. x64dbg est un outil de débogage open source, qui serait très populaire dans la communauté des développeurs. Il est généralement utilisé pour examiner le code en mode noyau et en mode utilisateur, les vidages mémoire ou les journaux du processeur.
Cependant, ici, il est exploité dans une attaque connue sous le nom de chargement latéral de DLL.
Pour que le programme fonctionne correctement, il a besoin d'un fichier .DLL spécifique. S'il existe plusieurs DLL portant le même nom, il exécutera d'abord celle du même dossier que le fichier exec, et c'est ce que les pirates exploitent. En livrant un fichier DLL modifié avec le programme, ils garantissent que les logiciels légitimes finissent par activer les logiciels malveillants.
Dans ce cas, le logiciel porte une signature numérique valide qui peut « confondre » certains outils de sécurité, expliquent les chercheurs. Cela permet aux acteurs malveillants de « passer inaperçus », de maintenir leur persistance, d’élever leurs privilèges et de contourner les restrictions d’exécution de fichiers.
« La découverte et l'analyse de l'attaque de malware à l'aide de l'outil de débogage open source x32dbg.exe nous montre que le chargement latéral de DLL est toujours utilisé par les acteurs malveillants, car il s'agit d'un moyen efficace de contourner les mesures de sécurité et de prendre le contrôle d'un système cible », lit-on. le rapport Trend Micro (s'ouvre dans un nouvel onglet).
« Les attaquants continuent d'utiliser cette technique car elle exploite la confiance fondamentale dans les applications légitimes », poursuit le rapport. "Cette technique restera viable pour les attaquants souhaitant distribuer des logiciels malveillants (s'ouvre dans un nouvel onglet) et accéder à des informations sensibles tant que les systèmes et les applications continueront de faire confiance et de charger des bibliothèques dynamiques."
La meilleure façon de vous protéger contre de telles menaces est de vous assurer que vous savez quels programmes vous exécutez et que vous faites confiance à la personne qui partage l'exécutable. Trend Micro estime que les attaques par chargement latéral continueront d'être un vecteur d'attaque valable dans les années à venir, car elles exploitent une « confiance fondamentale dans les applications légitimes ».
"Cette technique restera viable pour permettre aux attaquants de distribuer des logiciels malveillants et d'accéder à des informations sensibles tant que les systèmes et les applications continueront de faire confiance et de charger des bibliothèques dynamiques." ont-ils conclu.
Via : Le registre (Ouvre dans un nouvel onglet)