Vous avez récemment googlé le programme graphique 3D Blender ? Vous avez peut-être attrapé un malware virtualisé sournois dans le processus.
Les attaquants diffusent actuellement des logiciels malveillants virtualisés via une campagne publicitaire de Google – déguisée en logiciel graphique 3D Blender. En utilisant diverses techniques d’obscurcissement, ce logiciel malveillant parvient à tromper les programmes antivirus courants. Mais le voleur d’informations chargé en tant que charge utile est au moins aussi intelligent.
Le malware virtualisé utilise KoiVM pour obscurcir son code
Les chercheurs en sécurité de SentinelLabs ont découvert certaines publicités Google que les cybercriminels utilisent actuellement pour distribuer des logiciels malveillants virtualisés. Le logiciel malveillant utilise la technologie de virtualisation KoiVM pour contourner la détection des programmes antivirus courants.
En utilisant KoiVM, le code du programme peut être masqué de telle sorte que seule la machine virtuelle puisse le traiter. Cela traduit le code dans sa forme d’origine au moment de l’exécution afin qu’il puisse ensuite être exécuté sur le système cible.
Selon les chercheurs «La virtualisation rend l’analyse des logiciels malveillants plus difficile et représente également une tentative de contourner les mécanismes d’analyse statique.Cela permet aux attaquants de distribuer le chargeur de logiciels malveillants MalVirt via une campagne publicitaire Google sans déclencher d’alertes antivirus.
Les logiciels malveillants virtualisés se font passer pour des logiciels graphiques »mélangeurs”
Comme le rapporte BleepingComputer, les publicités trompent l’utilisateur en le redirigeant vers le site officiel du logiciel graphique 3D Blender. En fait, ils se retrouvent sur une fausse page qui a imposé le logiciel malveillant virtualisé à leurs visiteurs.
Cependant, le chargeur MalVirt se désactive lorsqu’il se trouve dans un environnement virtualisé. Il le détecte automatiquement en vérifiant certaines clés de registre sur le système de la victime.
En utilisant une variante modifiée de KoiVM avec des couches d’obscurcissement supplémentaires, le logiciel malveillant protège davantage son code d’une éventuelle décompilation et analyse.
Un voleur d’informations, qui sait aussi se protéger, suit comme une charge utile
Une fois le chargeur de logiciels malveillants virtualisé chargé, il appelle l’infostealer Formbook en tant que charge utile supplémentaire, qui vole ensuite les données de sa victime. Cela repose également sur des techniques d’obscurcissement, par exemple pour masquer son trafic de données avec le serveur de commande et de contrôle (C2) de l’attaquant.
Pour ce faire, Formbook mélange ses paquets de données avec d’autres requêtes HTTP chiffrées, qu’il envoie de manière aléatoire à différentes adresses IP. Les chercheurs de SentinelLabs ont découvert un total de 17 domaines avec lesquels le malware communiquait. 16 d’entre eux ont juste été utilisés comme leurres pour confondre les outils de surveillance potentiels.
Pour s’assurer que le logiciel malveillant virtualisé et ses retardataires n’ont aucune chance, les utilisateurs doivent toujours être vigilants lorsqu’ils cliquent sur les publicités Google. Après tout, ce n’est pas la première fois que des attaquants utilisent Google Ads à des fins malveillantes. Même le FBI a récemment préconisé l’utilisation de bloqueurs de publicités pour se protéger contre de telles attaques.