Des chercheurs découvrent une nouvelle campagne de logiciels malveillants diffusant une charge utile « Blister »

Les chercheurs en cybersécurité d’Elastic Security ont découvert une nouvelle campagne de logiciels malveillants exploitant des certificats de signature de code valides pour échapper aux défenses de sécurité et déployer un nouveau chargeur de logiciels malveillants baptisé Cloque. Les chercheurs ont déclaré que la campagne de malware furtif exploite la charge utile Blister pour exécuter des charges utiles de malware de deuxième étape en mémoire et maintenir la persistance. En outre, la campagne déploie également des charges utiles Cobalt Strike et BitRAT sur les réseaux ciblés. Les échantillons de logiciels malveillants identifiés ont des détections très faibles ou inexistantes sur VirusTotal.

« Lors d’une attaque évitée, notre prévention des comportements malveillants a déclenché plusieurs alertes de haute confiance pour l’exécution via le proxy binaire signé renommé, le gestionnaire d’erreurs Windows/le masquage des rapports et l’exécution suspecte de PowerShell via des scripts Windows. De plus, notre prévention des menaces de mémoire a identifié et empêché BLISTER d’injecter sa charge utile intégrée aux processus cibles », ont déclaré les chercheurs.

Blister les logiciels malveillants

Il a été constaté que la campagne de malware Blister utilise un certificat de signature de code valide délivré par Sectigo. Les acteurs malveillants peuvent soit voler des certificats de signature de code légitimes, soit les acheter directement auprès d’une autorité de certification ou via des sociétés écrans. Les chercheurs ont déclaré qu’ils avaient notifié l’activité du malware à Sectigo pour prendre des mesures et révoquer les certificats abusés.

Lisez aussi : Un nouveau malware découvert avec l’application Itaú Unibanco Bank au Brésil

« Les exécutables avec des certificats de signature de code valides sont souvent examinés à un degré moindre que les exécutables non signés. Leur utilisation permet aux attaquants de rester sous le radar et d’échapper à la détection pendant une période plus longue. Une fois déchiffrée, la charge utile intégrée est chargée dans le processus en cours ou injectée dans un WerFault.exe nouvellement créé. [Windows Error Reporting] processus », ont ajouté les chercheurs.

Les anciennes variantes de logiciels malveillants refont surface

Il est devenu courant pour les auteurs de logiciels malveillants d’exploiter d’anciennes variantes de logiciels malveillants pour en créer une nouvelle. Récemment, les experts en sécurité de Pradeo ont découvert une application mobile malveillante disponible en téléchargement sur Google Play, que plus de 500 000 utilisateurs Android ont installée. L’application malveillante, baptisée Color Message, infecterait les appareils ciblés avec le malware Joker. L’application est soupçonnée d’être liée à des serveurs russes.

Le malware Joker, apparu pour la première fois en 2017, est classé dans la catégorie des Fleeceware. Il s’agissait de l’un des types de logiciels malveillants Android les plus couramment infectés, utilisé pour commettre des fraudes à la facturation et espionner. Il a été largement utilisé pour voler des messages SMS, des listes de contacts et des informations sur les appareils. Depuis lors, le malware Joker a été répandu dans plusieurs activités cybercriminelles sous divers noms.