Les éditeurs de logiciels d’antivirus ont récemment mis en garde les utilisateurs contre d’éventuels malwares écrits en PowerShell, le shell en ligne de commande, utilisé sous les systèmes Microsoft pour automatiser les taches via des scripts.
Même si ces types d’attaques ne sont pas nouveaux, il est important de noter que ces nouveaux malwares sont sophistiqués et difficiles à détecter, d’où les mises en garde conjointes de Symantec et Trend Micro.
Ainsi, l’équipe de Symantec a détecté un malware sous forme de script PowerShell, dénommé Backdoor.Trojan, de plus « il a différentes couches d’offuscation et est capable d’injecter un code malicieux dans le processus rundll32.exe pour rester cacher tout en agissant comme un backdoor », selon le chercheur en sécurité de chez Symantec, Roberto Sponchioni.
En outre, lorsque le malware s’exécute, il est en mesure de compiler et d’exécuter à la volée du code qu’il embarque. Le code compilé injecte à son tour plus de code malicieux dans rundll32.exe, puis il se connecte au serveur C&C (Command and Control).
Quant à l’équipe de Trend Micro, elle a découvert le malware CRIGENT (ou PowerWorm) qui est téléchargé par d’autres malwares et se présente sous forme de fichiers Word et Excel.
Après avoir infecté un ordinateur, il est en mesure de télécharger d’autres composants ou outils (comme Tor ou le proxy web Polipo) mais aussi d’infecter d’autres fichiers Word et Excel grâce à des routines internes, ce qui en fait un ver informatique qui peut facilement s’autopropager.
Au final, ces deux annonces révèlent que les cybercriminels ont développé des malwares plus sophistiqués que par le passé sous PowerShell, ce qui en fait des malwares redoutables. Les chercheurs de Symantec recommandent aux utilisateurs « d’éviter d’exécuter de scripts PowerShell inconnus et de ne pas diminuer le niveau de privilège nécessaire par défaut à l’exécution des scripts PowerShell, afin d’éviter toute exécution de script malicieux »
Source : Annonce de Symantec, Annonce de TrendMicro
Et vous ?
Qu'en pensez-vous ?
Pensez-vous que ce genre d'attaque va se répandre dans le futur ? Pourquoi ?
Des malwares sophistiqués écrits en PowerShell refont surface
Symantec et Trend Micro tirent la sonnette d'alarme
Des malwares sophistiqués écrits en PowerShell refont surface
Symantec et Trend Micro tirent la sonnette d'alarme
Le , par Arsene Newman
Une erreur dans cette actualité ? Signalez-nous-la !