PowerSniff : Le malware qui ne laisse aucune trace

4
151

Les chercheurs de Palo Alto Networks viennent de découvrir un nouvel malware de type PowerShell, capable de s’exécuter directement en mémoire, en ne laissant quasiment aucune trace sur le système infecté. Nom de code : PowerSniff.

Les chercheurs en sécurité de Palo Alto Networks mettent un avant un nouveau logiciel malveillant, comparable à ceux de la famille ursnif, ayant la capacité technique d’infecter une machine sans laisser le moindre fichier sur celle-ci. Baptisé PowerSniff par l’équipe qui l’a découvert, le malware est diffusé par un vecteur standard bien connu de tous : des mails avec des documents Word malveillants attachés en pièce jointe.

powersniff1

Afin d’optimiser l’ouverture et donc le taux d’infection, les cybercriminels à l’origine de PowerSniff n’hésitent pas à cibler spécifiquement une entreprise, en incluant dans le mail des références valides personnalisées (nom de l’entreprise, téléphone, contact existant, etc).

Dans un billet de blog, les chercheurs de Palo Alto Networks décrivent un fonctionnement typique pour ce type de e-menace : une fois le document joint ouvert, une macro malicieuse s’exécute et invoque le service WMI pour lancer une instance cachée de powershell.exe avec des arguments déclenchant le téléchargement d’un script PowerShell encodé, qui est alors directement déchiffré et exécuté.

powershell.exe ExecutionPolicy Bypass WindowStyle Hidden noprofil

Point non négligeable, le malware est capable de détecter un environnement virtuel de type sandbox et de se désactiver.

powersniff2

Pour Palo Alto, PowerSniff devrait être considéré comme une menace élevée, « en raison des détails spécifiques à l’organisation contenus dans les e-mails et à l’utilisation d’une malware résident en mémoire ». 

 

Source : Palo Alto Research Center

Les commentaires sont fermés.