Un nouveau malware se fait passer pour un service légitime du navigateur de Microsoft Edge.
Repéré par Stephan Berge, à la tête des investigations au sein du cabinet de sécurité InfoGuardAG, ce malware utilise une combinaison de camouflage et de fonctionnalités avancées de contrôle à distance. Il se déguise en service légitime de Microsoft Edge en venant s'installer au sein du dossier C:\Program Files\Microsoft\MicrosoftEdge\ sous le nom msedge.exe
Toutefois, comme le souligne l'expert en sécurité, son argument de ligne de commande --meshServiceName="MicrosoftEdge" trahit l'utilisation de MeshCentral, un outil open-source de gestion à distance disponible sur Windows, Linux et macOS et régulièrement détourné à des fins malveillantes.
Comment fonctionne ce malware ?
Comme l'explique Cyber Security News le malware active en arrière-plan un agent MeshCentral modifié. Celui-ci permet aux attaquants d'exécuter des commandes depuis un serveur, de transférer des fichiers, d'établir une surveillance en temps réel et de prendre le contrôle complet des systèmes infectés via une interface web, sans nécessiter d'interaction de la victime.
Chaque instance génère un MeshAgent unique, évitant les détections par signature antivirus. Pour persister, il modifie des clés du registre Windows et peut ainsi rester actif même après un redémarrage en mode sans échec.
Autre point important : des communications qui contournent discrètement les défenses. Les interactions entre MeshCentral et les MeshAgents transitent via les ports HTTP/HTTPS classiques (80/443). Difficile, donc, de repérer ces agents malveillants, d'autant que le logiciel open source est parfois utilisé en interne dans l'entreprise.
Stephan Berge explique avoir repéré ce malware sur le réseau d'un client. Il affirme : "Le client a progressivement déployé notre agent d’investigation sur l’ensemble des postes et serveurs du réseau, et nous avons continué à découvrir de nouvelles installations de cette porte dérobée."
Il rappelle au passage qu'il est important pour les entreprises de passer non seulement une solution de sécurité sur les serveurs et les postes individuels des employés, mais également d'analyser le réseau global. Ajoutons au passage que si un scan complet peut certes prendre un certain temps, il ne vaut mieux donc pas exclure les répertoires par défaut de Windows tels que C:\Program Files\Microsoft\.
