Méfiez-vous des archives auto-extractibles WinRAR ou ou 7-Zip, elles pourraient vouloir du mal à votre ordinateur. Des chercheurs en sécurité ont découvert que ce type de fichiers était utilisé par des pirates pour implanter des backdoors dans un système d'exploitation… sans éveiller de soupçons.
Utiliser des fichiers leurres inoffensifs pour conduire l'utilisateur à télécharger des archives auto-extractibles (SFX) malveillantes, créées avec de simples logiciels de compression WinRAR ou 7-Zip : c'est la nouvelle technique employée par des pirates dans l'objectif d'implanter des backdoors sur des systèmes cibles, et ce, sans déclencher le moindre dispositif de sécurité.
L'interface chaise-clavier encore visée
Identifiée par des chercheurs en sécurité de la société CrowdStrike à la suite d'une enquête conduite après un incident, cette technique d'attaque tire donc parti de la nature même des fichiers SFX. Pour rappel, ces exécutables contiennent des données archivées ainsi qu'un stub de décompression intégré (du code permettant de décompresser les données). Ils ont pour principale utilité de simplifier la distribution de données archivées aux utilisateurs qui ne disposent pas d'un utilitaire idoine pour les extraire.
Comme l'indiquent les chercheurs de CrowdStrike, dont les recherches ont été décortiquées par le site spécialisé Bleeping Computer, l'attaque s'appuie en premier lieu sur l'application d'accessibilité « utilman.exe ». Cette dernière est dans le cas présent reconfigurée, de manière à lancer un fichier SFX protégé par un mot de passe ayant été placé en amont sur le système cible.
Le fichier SFX déclenché par le biais d'utilman.exe contient pour sa part un fichier texte vide qui sert de leurre. Ce procédé permet en sous-main d'abuser des options de configuration de WinRAR pour exécuter PowerShell, qui est une invite de commande Windows (cmd.exe), mais aussi le gestionnaire de tâches avec des privilèges système, note Bleeping Computer.
La création de backdoors… en toute discrétion
En soi, aucun logiciel malveillant n'est présent dans l'archive RAR en elle-même, mais cette méthode d'attaque permet d'exécuter des commandes pouvant in fine ouvrir une porte dérobée dans le système cible, et ce, de manière très discrète.
« Ce type d'attaque est susceptible de ne pas être détecté par les logiciels antivirus traditionnels, qui recherchent des logiciels malveillants à l'intérieur d'une archive (souvent protégée par un mot de passe), plutôt que le comportement d'un décompresseur d'archives SFX », notent les chercheurs de CrowdStrike.
Cela dit, d'après Bleeping Computer, Windows Defender parvient parfois à réagir convenablement lorsqu'une archive SFX personnalisée est créée pour exécuter PowerShell après extraction. Testé sur ce terrain par le site spécialisé, l'utilitaire de Microsoft a dans certains cas identifié l'exécutable en tant que script malveillant et l'a mis en quarantaine. Cette réaction appropriée n'a toutefois pas été observée de manière systématique à chaque tentative.
Une fois de plus, la prudence est donc requise : ne téléchargez pas de fichiers SFX si vous n'en connaissez pas la provenance.
Source : Bleeping Computer