Dans le passé, les archives compressées et auto-extractibles contenaient souvent des logiciels malveillants. Une nouvelle arnaque montre que les archives auto-extractibles ne contiennent aucun logiciel malveillant, mais exécutent des commandes lorsqu'elles sont ouvertes dans Windows, que les logiciels malveillants peuvent ensuite rattraper - selon Crowdstrike.
De nombreux employés dans les entreprises s'appuient sur un packer tel que ZIP, 7zip ou WinRAR afin que les fichiers volumineux puissent être transportés plus rapidement par e-mail. Les archives auto-extractibles sont également populaires dans le monde des affaires. Les archives sont un fichier EXE et peuvent être décompressées en un clic. Par exemple, même si Outlook bloque les pièces jointes avec un fichier EXE, il permet toujours de connecter un fichier ZIP à un fichier EXE. De bons scanners ont également détecté le malware dans des archives doublement emballées. En conséquence, les attaquants trouvent maintenant de nouvelles façons de piéger les employés sans méfiance.
Emotet utilise des archives cryptées
Chez Emotet, une archive contenant des fichiers leurres inoffensifs et une autre archive mais cryptée ont été envoyées aux utilisateurs. L'analyse n'a révélé que des fichiers inoffensifs car la partie cryptée ne peut souvent pas être examinée. Les paramètres et commandes cachés dans l'archive ne sont pas visibles. Si l'archive auto-extractible est maintenant décompressée, l'outil écrit les fichiers compressés et démarre la seconde archive chiffrée. Le mot de passe est ensuite transmis à cette archive via des paramètres, et le fichier Emotet est décompressé et exécuté.
Archives avec chaîne de commandement
Si une archive auto-extractible - SFX en abrégé - est exécutée en un clic, le contenu est extrait. Si, par exemple, un logiciel malveillant est ensuite écrit sur le système, une solution de sécurité des terminaux le repousse généralement de manière fiable. Mais : il n'y a pas de malware dans les archives trouvées par Crowdstrike. Au lieu de cela, les fichiers SFX exécutent une chaîne de commandes que vous pouvez leur donner assez régulièrement. Dans un cas enregistré, une clé de registre a été transmise à Windows via un paramètre. Cela signifiait alors qu'il était possible d'exécuter des commandes avec des droits supérieurs à ceux d'un compte administrateur standard.
Crowdstrike a enregistré le fonctionnement pratique de ces pièges dans un article de blog et explique les pièges individuels des exemples trouvés dans la nature.
Plus sur Crowdstrike.com
À propos de CrowdStrike CrowdStrike Inc., un leader mondial de la cybersécurité, redéfinit la sécurité à l'ère du cloud avec sa plate-forme repensée pour protéger les charges de travail et les terminaux. L'architecture allégée à agent unique de la plate-forme CrowdStrike Falcon® exploite l'intelligence artificielle à l'échelle du cloud pour une protection et une visibilité à l'échelle de l'entreprise. Cela empêche les attaques sur les périphériques finaux à l'intérieur et à l'extérieur du réseau. À l'aide du CrowdStrike Threat Graph® propriétaire, CrowdStrike Falcon corrèle environ 1 XNUMX milliards d'événements liés aux terminaux dans le monde, quotidiennement et en temps réel. Cela fait de la plateforme CrowdStrike Falcon l'une des plateformes de données de cybersécurité les plus avancées au monde.