Les chercheurs de BitDefender ont mis à jour un virus d’une extrême dangerosité et particulièrement difficile à détecter. EggStreme, c’est son petit nom, est un malware qui porte très bien son nom. La raison ? Comme un easter egg, il sait se dissimuler, dans la RAM de votre mémoire vive dans le cas présent et, il est extrêmement pernicieux et complexe à identifier.
L’origine du malware est attribuée à la Chine, mais c’est bien aux Philippines que l’histoire commence. C’est là que les chercheurs en cybersécurité de Bitdefender ont remarqué des activités anormales sur certains systèmes, principalement grâce à l’analyse comportementale des machines ciblées. Ce qu’ils ont découvert peut faire froid dans le dos dans la mesure où ce malware peut contourner toutes les protections des antivirus classiques. Pour autant, EggStreme n’est pas complètement invisible et c’est ce qui a permis de le mettre à jour et de décrypter son mode de fonctionnement détonnant.
Quasiment indétectable
La petite astuce d’EggStreme, celle qui le rend si particulier, c’est qu’il parvient à se cacher dans la mémoire vive d’une machine. Pour ce faire, il utilise une technique d’infiltration très efficace, le DLL sideloading. L’infection commence avec un script (logon.bat) placé sur un partage réseau, qui installe un exécutable Windows légitime (WinMail.exe) et une bibliothèque malveillante (mscorsvc.dll).
Le cas rapporté par BitDefender concerne le dossier %APPDATA%. Concrètement, les hackers envoient un fichier Windows légitime (WinMail.exe) dans le dossier %APPDATA%\Microsoft\Windows\Windows Mail\. Mais celui-ci comprend une DLL malveillante (mscorsvc.dll) qui trompe automatiquement Windows. Le virus reste alors chargé en mémoire en utilisant la technique du chargement reflectif, ce qui évite toute écriture sur le disque et lui permet de ne pas être repéré.
Un malware dévastateur
Une fois installé et opérationnel, EggStreme est extrêmement dangereux. Il est capable de modifier des services système. Il active ou détourne certains services Windows normalement inactifs pour s’installer de façon permanente. Il dispose d’un minimum connu de 58 commandes pour ses opérateurs : cartographie du réseau, vol de fichiers, capture d’écran, installation d’autres malwares, exécution de code arbitraire, etc. Enfin, il peut enregistrer toutes les frappes au clavier utilisateur grâce à un module injecté dans explorer.exe, sans trace sur le disque.
Quant à son mode de communication, il est tout aussi sophistiqué puisque EggStreme passe par le protocole gRPC avec des échanges chiffrés TLS pour éviter l’interception et communiquer avec ses serveurs de commande.
Très sophistiqué dans sa conception et son mode de fonctionnement, EggStreme vise principalement l’espionnage et l’accès persistant à des systèmes informatiques, notamment militaires.
Quelle solution contre EggStreme ?
À l’heure actuelle, EggStreme est un calvaire en matière de sécurité. Concrètement, les antivirus classiques ne peuvent ni le détecter, ni lutter contre son action. Des solutions de sécurité avancées, dites comportementales (EDR/XDR) sont les seules capables de détecter la présence du malware. Ce n’est qu’alors qu’il est possible d’isoler les applications vulnérables et de bloquer son action localement. Malheureusement, ce type de protection n’est pas à la portée de tous. Aussi, EggStreme risque de faire beaucoup parler de lui dans les prochaines semaines.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Global Security Mag
