Beta Bot vient d’apparaître sur le marché parallèle. Le code malveillant pousse l’utilisateur à valider l’UAC de Windows afin d’infecter le système et désinstaller l’antivirus présent. Disponible pour moins de 500 € et proposant une vaste liste de fonctionnalités, il connais d’ores-et-déjà un franc succès chez les pirates informatiques et cyber-criminels.
Même si la plupart de ces caractéristiques sont assez standards (attaque DDoS, accès à distance via remote, captures de données et vols d’informations personnelles), une capacité particulièrement audacieuse a attiré l’attention de GData SecurityLabs : « Désactiver l’antivirus » annonce la publicité affichée sur les forums undergrounds. Une annonce suivie d’une liste de près de 30 programmes de sécurité censés être désactivables par Beta Bot.
Comment est-ce possible et quelle est la méthode utilisée par les pirates ?
Les logiciels antivirus sont en effet censés être protégés contre ce genre de choses. Lorsqu’il est installé sur un système, Beta Bot cherche une solution de sécurité qu’il connait et qu’il peut identifier formellement. S’il en trouve une, le malware commence ses attaques en arrêtant les processus liés, en désactivant les clés de registre correspondantes et en désactivant les mises à jour automatiques. Selon le type de produit de sécurité, Beta Bot tente aussi de contourner les pare-feux en injectant certaines routines dans les programmes qui sont habituellement autorisés à passer le pare-feu, comme Internet Explorer (DLL injection ou process injection).
Le Contrôle d’Accès Utilisateur (UAC) lui permet de contourner les permissions au sein des systèmes d’exploitation Windows modernes. Contrairement à un administrateur, un utilisateur standard ne peut pas modifier les parties critiques du système. La décision d’élever le niveau de permission d’un processus est proposée à l’utilisateur par une fenêtre de dialogue spécifique. Celui-ci doit alors valider ou non cette permission. Beta Bot utilise cette boite de dialogue pour gagner des droits élevés sur le système. Bien que beaucoup de codes malveillants se contentent de droits utilisateurs limités pour attaquer le système, Beta Bot doit escalader les privilèges utilisateurs pour s’attaquer aux logiciels de sécurité. Pour réussir dans cette démarche, la validation de l’utilisateur est nécessaire. Deux astuces sont utilisées par Beta Bot pour convaincre l’utilisateur de valider cette élévation de droits.
Une vidéo de démonstration où l’on peut voir la malware désactiver la protection Kaspersky en direct est disponible sur YouTube :
[youtube ISghLq70OPY nolink]
Dès que le code malveillant est exécuté sur le système, il affiche une première fenêtre dans la langue du système (10 langues, dont le français, sont disponibles) signifiant un problème de disque dur. Ce faux message critique joue sur la peur de perdre des données et invite l’utilisateur à réparer les dossiers endommagés. L’utilisateur doit choisir l’une des deux options proposées (« Restaurer les fichiers » ou « Restaurer les fichiers et réaliser une vérification de disque »). C’est alors que le contrôle d’accès utilisateur (UAC) est lancé. C’est à l’autre astuce de prendre le relais : Beta Bot n’est pas directement utilisé pour lancer le processus UAC. C’est le programme cmd.exe, autrement dit l’invite de commande Windows, qui est utilisée pour démarrer Beta Bot. L’utilisateur est donc invité à élever les autorisations d’un programme Windows, ce qui est habituellement autorisé par la majorité des utilisateurs.
Source : DataSecurityBreach
Les commentaires sont fermés.