Adrozek, un programme malicieux distribué par téléchargement à la dérobée, peut être en train d’impacter les fureteurs de votre entreprise. Que ce soit des ordinateurs de bureau, des ordinateurs portables ou des appareils mobiles, la sécurité de vos hôtes devrait être évaluée.

Détecter le logiciel publicitaire d’Adrozek

Le 10 décembre 2020, Microsoft a annoncé la détection du logiciel malicieux Adrozek sur de multiples fureteurs, incluant Microsoft Edge, Google Chrome, Yandex Browser et Mozilla Firefox.

Adrozek est distributé par une attaque de téléchargement à la dérobée. Le code évolue constamment pour s’assurer qu’il puisse outrepasser la détection anti-virus. Ceci signifie que les utilisateurs corporatifs doivent être vigilants en évaluant la sécurité de leurs hôtes.

Adrozek: le logiciel malveillant du jour

Adrozek détourne un fureteur, ensuite injecte, de manière non-sollicitée, des liens sponsorisés dans les résultats de recherche. Les usagers cliquent ensuite sur ces liens sponsorisés (essentiellement des publicités) au lieu des résultats de recherche légitimes. Ceci permet à l’opérateur du logiciel malveillant de générer des revenus pour chaque clic.

Adrozek est similaire à d’autres logiciels publicitaires. La différence, toutefois, est dans sa manière de saboter plusieurs contrôles de sécurité pour lui permettre de rester sur machine infectée plus longtemps. Notamment, le logiciel malveillant prévient l’installation d’importantes mise à jour logicielles et désactive la validation d’intégrité pour les fichiers de configuration du fureteur. Bien que sa fonctionnalité principale (injection de publicité) ne soit pas très dangereuse, la fonction secondaire introduit des risques de sécurité significatifs.

Un de ces risques de sécurité inclut un composant pour voler des mots de passe.

Comment SMART-Sentinel détecte Adrozek

Adrozek serait rapidement détecté par SMART-Sentinel, l’engin derrière le service de détection géré de CYDEF, SMART-Monitor.

Adrozek ne prend pas de mesures extraordinaires pour camoufler son installation. Microsoft a identifié les 6 étapes que le logiciel malveillant suit au cours de son installation:

  1. Téléchargement initial
  2. Phase d’étage (2e installation). La charge utile principale est téléchargée vers un fichier ayant un nom aléatoire.
  3. La phase de charge utile principale. Ceci est la boucle principale du logiciel malveillant qui exécute toutes les phases subséquentes.
  4. La phase de persistance. Le maliciel enregistre un service pour la persistance.
  5. La phase d’altération du fureteur. Le logiciel malveillant altère le DLL du fureteur pour saboter les contrôles de sécurité, modifie les préférences du fureteur et installe des extensions de fureteur pour détourner les résultats de recherche.
  6. La phase “téléchargeur”. Le maliciel installe des binaires additionnels pour offrir plus de fonctionnalités aux attaquants, tel que des capabilités de voler des mots de passe.

Fil-pièges de SMART-Sentinel

SMART-Sentinel détecterait les phases suivantes:

  • Le téléchargement initial
  • La phase d’étage
  • La phase de charge utile principale
  • La phase de téléchargement

Chacune de ces quatre phases s’appuient sur des binaires inusités et notable. Nous détecterions ces binaires dès leur exécution.

SMART-Sentinel nous permettrait aussi d’identifier l’enregistrement du service. Dans le cadre de l’investigation de cette activité d’enregistrement du service, nos analystes le retraceraient jusqu’à un des binaires suspects.

Les deux stratégies de dissimulation pour camoufler le binaire sont très communes, et ne permettrait pas de se cache des outils de CYDEF et des investigations associées. Ces stratégies de dissimulation (le polymorphisme et l’ingénierie sociale de base) impliquent simplement que le logiciel utilisera un nouveau nom ou un nouveau type de fichier pour tromper un usager ou un programme anti-virus.

La Figure 1 illustre quelles composantes de la chaîne d’attaque seraient identifiées par SMART-Sentinel et assignées à un analyste SMART-Monitor pour révision.

smart-monitor detects adrozek

Figure 1: Chaîne d’attaque de Adrozek vs SMART-Sentinel

Un analyste CYDEF fait la différence

La seule phase que SMART-Sentinel n’identifierait pas immédiate comme nécessitant une revue par une analyste est la phase de modification du fureteur. Ceci étant dit, celle-ci serait identifiée par nos analystes au cours de l’investigation. Nous creuserions pour voir les modifications de la DLL et l’installation des extensions.

Ce logiciel malveillant se fie sur les vieilles méthodes pour charger des binaires. Elles sont faciles à détecter. Malgré cela, un nombre significatif (même énorme) de victimes ont étés la proie de cette attaque. Ce fait seul démontre que la sécurité est une tâche de vigilance constante. Les journaux (où les activités dans notre cas) doivent constamment êtres révisés pour découvrir des traces d’infection. Les engins d’anti-virus doivent constamment être mis à jour vers les nouvelles signatures pour détecter les dernières menaces. Une déficience à ce niveau peut permettre à ce genre de menace de s’infiltrer, même si la menace n’est pas techniquement difficile à détecter.

La sécurité est un chemin, pas une destination

À chaque fois qu’un nouveau logiciel malveillant ou une nouvelle technique d’attaque est divulguée, il y a une augmentation naturelle de l’anxiété. Est-ce que je suis protégé contre cette nouvelle menace ?

Si le tapis roulant constant de la sécurité vous fatigue, le service géré de détection et de réponse de CYDEF SMART-Monitor pourrait vous intéresser.