Gare à ce nouveau malware Windows, il s’attaque à un endroit inhabituel du système !

Sous Windows, des hackers ont réussi à mettre au point un type de malware ultra-sophistiqué et d'un nouveau genre. Pour cela, ils s'en prennent au gestionnaire d'événements du système d'exploitation, une technique encore inédite qui leur permet de récupérer toute sorte d'information confidentielle stockée sur l'ordinateur infecté. Sans que le système ne s'aperçoive qu'il a été corrompu, bien évidemment.

Malware Windows Observateur Evenements

On le pensait à l'abri de toute possibilité d'infection du PC. De par sa nature, l'observateur d'événements est un outil souvent oublié et qui n'a pas vocation à exécuter quoi que ce soit. Pourtant, des hackers sont parvenus à l'exploiter, de sorte qu'il serve de catalyseur à malware.

Ce sont les chercheurs de Kaspersky qui sont à l'origine de cette découverte. L'équipe de chercheurs explique sa découverte en ces termes : “en février 2022, nous avons observé la technique consistant à placer le shellcode dans les journaux d'événements Windows pour la première fois lors d'une attaque malveillante. Elle permet à un cheval de Troie “sans fichier” d'être caché à la vue de tous dans le système de fichiers.”

A lire aussi : l’antivirus russe Kaspersky est banni des États-Unis, il représente « un risque pour la sécurité nationale »

Cette menace se propage via l'observateur d'événements de Windows

Pour info, l'observateur d'événements se charge d'enregistrer tous les événements du système, les erreurs qui ont lieu dès que vous utilisez l'OS, etc. Cet observateur permet de repérer les bugs ou les crashs de Windows, de les analyser et/ou de les envoyer à un administrateur. Il est accessible via le menu contextuel du menu Démarrer, lequel est disponible depuis un simple clic droit sur l'icône Windows de la barre des tâches.

Bien que présent sur toutes les versions de Windows, l'observateur d'événements est souvent ignoré des utilisateurs. Qui se méfierait d'un outil qui se contente de répertorier des bugs ? Pourtant, des hackers ont réussi à le détourner, pour en faire un outil de propagation de malwares.

Denis Legezo, chercheur chez Kaspersky, affirme que la technique employée est une grande première dans le monde de la cybersécurité. Elle consiste à copier l'exécutable WerFault.exe (un fichier légitime de Windows) dans le répertoire C:\Windows\Tasks. Elle copie au même endroit le fichier wer.dll, lequel est rattaché au rapport d'erreurs de Windows et qui est lui aussi un fichier légitime du système d'exploitation. Tout ceci à l'insu de l'utilisateur et de Windows lui-même.

Et c'est là que la menace commence à agir, puisqu'elle altère le contenu de la DLL, afin de charger un contenu malveillant. Pour cela, le malware cherche dans les journaux d'événements des données bien particulières (de type 0x4142 – ‘AB' en ASCII). S'il ne les trouve pas, il injecte un petit bout de code chiffré de 8 Ko, lequel contient un malware ou plusieurs malwares. Des logiciels malveillants qui seront par la suite exécutés.

Malware Windows Observateur Evenements
Le malware écrit des informations à l'aide du shellcode dans le journal des événements de Windows. (crédit capture : Kaspersky).

Un type de propagation de malware encore inédit sous Windows

Une fois le malware mis en place et lancé, l'attaquant peut dérober toutes les données personnelles de l'utilisateur. Si cette méthode qui consiste à pirater l'observateur d'événements est inédite, l'attaque repose pourtant sur des outils de piratage existants et aisément trouvables sur le Web. Les chercheurs ont découvert dans le code malveillant des traces de trojans bien connus, comme Throback et Slingshot, deux malwares que l'on retrouve dans un “kit” de piratage nommé SilentBreak.

Selon Kaspersky, la technologie employée fait partie d'une campagne “très ciblée”. Cette technique a ceci de particulier qu'elle agit sans faire initialement appel à un ensemble de fichiers externes. Elle utilise les fichiers déjà présents dans l'OS pour en altérer le contenu.

Si les chercheurs de Kaspersky ne livrent aucune précision quant aux éditions de Windows concernées, il est vraisemblable qu'elle touche indifféremment toutes les éditions du système d'exploitation, de Windows 7 à Windows 11, en passant par les versions Famille, Pro, etc. Kaspersky ne précise pas non plus si tout type de solution antivirale est aujourd'hui capable de détecter cette nouvelle menace.

Source : Kaspersky


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

40 % de remise sur le Redmi Note 15 5G : le smartphone Xiaomi passe à 181 €

Le Redmi Note 15 5G voit son prix chuter de 40%, passant sous la barre des 190 €. Si vous recherchez un bon smartphone sous la barre des 200 €,…

Bon plan Xiaomi Pad 8 : la puissante tablette est à prix sacrifié pour quelques heures, vite !

Sortie en début d’année, la Xiaomi Pad 8 est déjà à prix sacrifié sur AliExpress. Vous pouvez ainsi vous l’offrir à 309,30 € seulement au lieu de 499,99€. Mais attention,…

Cet homme a volé la Lune, littéralement : voici la folle histoire du casse le plus insolite du siècle

Le récit que vous vous apprêtez à lire est une histoire incroyable, mais vraie. De celles qui nous font nous exclamer : « la réalité dépasse la fiction ». Elle allie tous les…

Gemini intègre bientôt Capcut pour monter vos vidéos à l’aide d’un simple prompt

Après Photoshop dans ChatGPT, voici Capcut dans Gemini. L’éditeur du logiciel de montage le plus populaire des créateurs de contenus vient en effet d’annoncer un partenariat avec Google pour amener…

IA

Après les smartphones, la première tablette pliable devrait bientôt pointer le bout de son nez

Alors qu’on se rapproche des 10 ans d’existence pour les smartphones pliables, Huawei prévoirait de lancer la première tablette de ce type dans quelques mois. On s’est maintenant habitué aux…

Se faire livrer ses courses ou louer une voiture devient possible sur Airbnb

Airbnb lance des services au-delà des offres de logement, entre location de voiture, livraison de courses ou réservation d’un transport privé. La grande tendance des plateformes est à la diversification….

Huawei Watch FIT 5 Series : elle analyse votre sommeil, votre stress et votre cœur, et le résultat est bluffant

La Watch FIT 5 Series de Huawei mise sur un suivi santé complet : sommeil, stress, ECG, respiration nocturne. Deux modèles pour deux budgets, avec 60 euros de réduction jusqu’au…

Windows 11 se dote d’une fonctionnalité que les utilisateurs de MacBook et de PS5 connaissent bien

Microsoft vient d’ajouter une nouvelle petite fonctionnalité à Windows 11 pour renforcer “l’immersion” et l’expérience utilisateur. Si vous possédez une PS5 ou que vous avez récemment utilisé un MacBook, vous…

Recharger sa voiture électrique en 3 minutes sans détruire sa batterie est enfin à portée grâce à cette technologie

Des chercheurs viennent de franchir deux barrières à la fois sur les batteries solid-state. Trois minutes pour une recharge complète, et 700 cycles sans s’effondrer. La voiture électrique vient de…

Avec le Galaxy S27 Pro, Samsung va enfin offrir sa meilleure expérience photo sur un smartphone plus petit et moins cher

Le Galaxy S27 Pro serait équipé du même capteur photo principal que le Galaxy S27 Ultra. L’ultra grand-angle devrait aussi être identique, mais pas le téléobjectif. Les informations concernant le…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.