Les pirates ont utilisé Ars Technica et Vimeo pour diffuser des logiciels malveillants à l’aide d’instructions binaires obscurcies dans une URL

Une nouvelle technique de dissimulation de logiciels malveillants découverte

Depuis l’émergence des virus informatiques, la lutte entre les pirates informatiques et les chercheurs en sécurité est incessante. Si la plupart des logiciels malveillants sont désormais connus, certains acteurs malveillants développent de nouvelles stratégies pour dissimuler leurs actions. Récemment, la société d’analyse de sécurité Mandiant a identifié une chaîne d’attaque « jamais vue auparavant » utilisant le codage Base 64 sur deux sites Web populaires : Ars Technica et Vimeo.

Les détails de l’attaque

Au sein du paysage numérique, une attaque récente a révélé des tactiques sophistiquées de propagation de logiciels malveillants. Tout a commencé sur le forum d’Ars Technica, où un utilisateur anodin a partagé une image apparemment inoffensive de pizza. Cependant, dissimulée dans l’URL de l’image se trouvait une chaîne cryptée en Base 64. Cette chaîne, une fois décodée en ASCII, cachait secrètement des instructions binaires destinées à télécharger et à installer la deuxième phase d’un logiciel malveillant. De manière tout aussi alarmante, une méthode similaire a été détectée dans la description d’une vidéo hébergée sur Vimeo, indiquant que cette technique sournoise se répandait sur différents canaux en ligne.

L’identification de l’auteur de cette attaque a été une étape cruciale dans la lutte contre cette menace numérique. Les experts de la sécurité informatique chez Mandiant ont identifié le code malveillant comme appartenant à un acteur menaçant connu sous le nom d’UNC4990, sous surveillance depuis l’année 2020. Cette découverte soulève des préoccupations quant à l’évolution des tactiques employées par les cybercriminels, mettant en lumière la nécessité d’une vigilance constante et de mesures de sécurité renforcées sur les plateformes en ligne.

Cette attaque met en évidence l’ingéniosité des cybercriminels pour dissimuler leurs intentions malveillantes. L’utilisation de chaînes cryptées en Base 64 dans des URL et des descriptions de vidéos semble être une nouvelle stratégie visant à contourner les mesures de sécurité traditionnelles. Cette sophistication croissante des attaques souligne l’importance pour les utilisateurs et les organisations de rester à l’affût des dernières menaces et de renforcer leurs défenses pour protéger leurs données et leurs systèmes contre de telles intrusions.

Analyse de l’attaque

L’analyse approfondie de l’attaque révèle un processus d’infection en plusieurs étapes, conçu pour contourner les défenses traditionnelles et infiltrer les systèmes cibles. La première étape de ce malware, connue sous le nom d’explorer.ps1, est diffusée à travers des lecteurs flash infectés qui sont liés à des fichiers hébergés sur GitHub et GitLab. Ce script malveillant agit comme un vecteur d’infection initial, exploitant les vulnérabilités des systèmes pour s’introduire de manière furtive.

La deuxième phase de l’attaque, nommée « Espace vide », présente une complexité supplémentaire pour les chercheurs en sécurité. Initialement perçue comme un simple fichier texte vide, cette étape s’avère être bien plus insidieuse lorsqu’elle est analysée avec un éditeur hexadécimal. En effet, ce fichier binaire utilise un système de codage ingénieux, manipulant des espaces, des tabulations et des retours à la ligne pour créer un code exécutable. Cette technique, totalement nouvelle pour la communauté des chercheurs en sécurité, rend la détection de l’infection plus ardue, car elle dissimule habilement la nature malveillante du fichier.

La sophistication croissante des techniques d’attaque souligne la nécessité pour les chercheurs en sécurité et les professionnels de la cybersécurité de rester constamment à l’affût des évolutions dans le paysage des menaces informatiques. Face à des tactiques aussi élaborées, il est impératif de développer des stratégies de défense robustes, reposant sur une compréhension approfondie des méthodes utilisées par les cybercriminels. Seules une vigilance constante et une adaptation agile permettront de contrer efficacement les attaques de logiciels malveillants de plus en plus sophistiquées.

Bien que l‘attaque d’UNC4990 avec le logiciel « Espace vide » semble avoir une portée limitée, elle révèle une nouvelle approche des attaques par logiciels malveillants. Mandiant souligne l’importance de rester vigilant et propose des méthodes de détection sur son blog. Il est essentiel que les utilisateurs maintiennent leurs systèmes à jour et utilisent des outils de sécurité fiables pour se protéger contre de telles menaces.

Recommandés Pour Vous

A propos de l'Auteur: Alex Bruno

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *