Masslogger : le cheval de Troie reste très actif et de nouvelles variantes sont là, on vous explique tout

02 octobre 2021 à 11h00
Sponsorisé par
Bitdefender
4
Sponsorisé par Bitdefender
Phishing : la pêche aux données personnelles © Getty

Masslogger est un malware aux multiples variantes utilisé pour subtiliser des informations d’identification via des navigateurs Internet et des clients de messagerie populaires tels que Microsoft Outlook, Google Chrome, Discord, Thunderbird et bien d’autres. Depuis le début de l’année 2021, des experts en sécurité ont repéré des nouvelles variantes du cheval de Troie qui ciblait les utilisateurs de Windows à travers des campagnes de phishing.

Identifiée pour la première fois au mois d’avril 2020, la version améliorée du cheval de Troie Masslogger continue de faire des ravages. Depuis cette date, le logiciel espion refait régulièrement surface à travers de nouvelles variantes toujours plus sophistiquées. Les développeurs de logiciels malveillants modifient en permanence le code de leurs malwares pour pouvoir échapper aux radars des systèmes de sécurité et monétiser leurs mises à jour en les vendant sur le Dark Web. La pandémie mondiale constitue de surcroît une aubaine pour cette nouvelle forme de malwares qui s’appuie sur des campagnes de phishing ciblant les utilisateurs de Windows. Explications…

Qu’est-ce que Masslogger ?

Masslogger est un logiciel espion qui a été conçu pour récupérer et exfiltrer les informations d’identification d’utilisateurs de Windows à partir de différentes sources telles que les navigateurs web (Chrome, Firefox…), des clients de messagerie, ou encore des services VPN. Contrairement aux précédentes versions de Masslogger ayant été documentées, la nouvelle variante utilisée dans les récentes campagnes de phishing exploite le format de fichier Microsoft Compiled HTML Help (format HTML compilé d’aide) pour amorcer la chaîne d’infection. Développé par Microsoft, le format HTML compilé (ou « .chm ») est un format propriétaire utilisé pour les fichiers d’aide en ligne de Windows.

Ce dernier a la particularité de pouvoir contenir des éléments actifs tels que des images, des hyperliens, et surtout des scripts JavaScript chargés dans le cas présent d’exécuter le malware. Les nouvelles variantes du malware qui circulent depuis une année peuvent être utilisées par n’importe quels acteurs malveillants pour mener des campagnes de phishing ciblées. Difficiles à détecter, ces attaques dîtes sans fichier permettent aux hackers de subtiliser et revendre les informations de connexion sur le Dark Web ou de les utiliser pour mener d’autres types d’attaques avec par exemple des ransomwares.

Antivirus et malwares histoire d'une poursuite continue © Shutterstock.com

Méthode d’attaque

Des experts en sécurité ont découvert des attaques avec cette nouvelle version de Masslogger dans plus d’une dizaine de pays européens. La chaîne d’infection commence par un email contenant une pièce jointe « RAR » dont l’extension de nom de fichier a été habilement modifiée. Il s’agit en effet d’une extension de nom de fichier multivolume RAR (« .rar », « .r01 », « .r02 », ou encore « .chm »…) permettant de contourner les systèmes de sécurité qui bloquent généralement les pièces jointes en fonction de leur extension de fichier.

Lorsque l’utilisateur ouvre la pièce jointe, un fichier HTML affiche le message « Service client » dans lequel se trouve un code JavaScript masqué qui crée automatiquement en tâche de fond une page HTML. Celle-ci intègre un téléchargeur PowerShell qui se connecte à un serveur légitime pour récupérer et exécuter la charge utile Playload Masslogger. À partir de là, le malware est en mesure d’exfiltrer les données récoltées via FTP, SMTP ou HTTP.

Il peut également intégrer des fonctionnalités pour voler les informations d’identification de navigateurs Web, de services VPN ou encore de clients de messagerie : Firefox, Chrome, Edge, Opera, Brave, QQ, NordVPN, Discord, Outlook, FoxMail ou encore Thunderbird. En fonction des variantes, le malware pourrait aussi se transformer en keylogger afin d’enregistrer toutes les frappes au clavier. Pour l’heure, il est possible que ces nouvelles variantes proviennent d’un seul et même acteur qui améliore en permanence le code de son malware pour le monétiser.

antivirus bitdefender

Rester en alerte

Les développeurs de logiciels malveillants ne sont jamais à court d'idées pour déjouer la vigilance des utilisateurs et contourner les systèmes de sécurité. Même si Masslogger est en apparence moins dangereux que d'autres malwares, il ne faut pas sous estimer les dégâts qu'il peut infliger. Le vol d’informations d’identification constitue un véritable eldorado pour les hackers de tout poil. Outre la possibilité de les revendre sur le marché noir, ils peuvent les utiliser pour infiltrer des réseaux, éxécuter une charge malveillante et prendre le contrôle de systèmes informatiques à distance.

Étant donné que le malware Masslogger s’exécute en mémoire, il est recommandé de programmer des analyses de la mémoire en continu. Les experts conseillent également de configurer le système de journalisation des événements PowerShell, dont le chargement de modules et des blocs de script pour pouvoir afficher le code malveillant exécuté en clair. Pour se prémunir de ce type d’attaques, il est enfin très important d’utiliser une solution de sécurité éprouvée telle que Bitdefender Total Security capable de détecter de manière proactive les menaces connues et inconnues.

Découvrez notre test de Bitdefender Total Security , actuellement classé parmi les meilleures solutions de sécurité dans les tests indépendants (AV-TEST et AV-COMPARATIVES) ainsi que meilleur antivirus 2021 dans notre comparatif des meilleures suites de sécurité :

  • Excellent rapport fonctionnalités/prix
  • Efficacité sans faille
  • Impact léger sur les performances
  • Bon confort d'utilisation, logiciel très autonome
Article proposé et conçu par La Rédaction Clubic en partenariat avec Bitdefender
Lire la charte de confiance
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
4
nicgrover
Il n’y a que la solution «&nbsp;Bitdefender Total Security&nbsp;» qui permette de détecter les menaces ?<br /> Les autres marques d’antivirus ne le permettent pas ?
jeje_groumpf
C’est simple, c’est marqué en HAUT A DROITE de la page : «&nbsp;sponsorisé par Bitdefender …&nbsp;» . Donc le B.A.BA de la première semaine en école de commerce :<br /> Inquiétez le client : attention au méchant virus !<br /> Proposez LA solution : B …<br /> Vendu ! Et en plus il est en promo madame à moins 45681%, donc en en prenant pour 10 ans, ça ne vous coutera que 899 € !<br />
nicgrover
Ah bah si les lecteurs de Clubic font les écoles de commerce… Et moi qui ne lis que ce qui est marqué en haut à gauche, je dois être atteint de dyscalculie…
Sbts
Créer un problème, puis apporter une solution. On pourrait presque faire un parallèle avec ce que l’ont vit depuis presque deux ans…
Voir tous les messages sur le forum

Lectures liées

SolarWinds : la campagne de piratage est toujours active, rapporte Microsoft
Emploi cyber : l'ANSSI lance l'Observatoire des métiers de la cybersécurité
Antivirus : l'excellente suite Kaspersky Total Security à un prix inédit grâce à ce code Clubic exclusif
Un malware trouvé dans UA-Parser-JS, un package NPM très populaire
Un japonais utilise de l'IA pour
Microsoft a (encore) signé un pilote qui était en fait un logiciel malveillant
Campus Cyber, le vaisseau amiral de la cybersécurité française, ouvrira ses portes en février 2022
Cybersécurité : les entreprises délaissent le mot de passe et se tournent vers l'authentification biométrique
Guerre de l'information : le ministère des Armées se dote d'une
Haut de page