Information et éducation par et pour la communauté SAP
Chronique sur la sécurité informatique, MAG 21-03

L'ennemi invisible

Les cybercriminels trouvent de nouveaux moyens d'accéder aux données sensibles de leurs victimes - sans être reconnus, au moyen de logiciels malveillants sans fichier. Le CERT-Bund et de nombreux chercheurs en sécurité mettent en garde contre ces attaques.
Silvana Rößler
8 avril 2021
Contenu :
En-tête it security
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Problèmes de connexion à Internet, chutes inexpliquées des performances ou serveur de messagerie sur liste noire - depuis le quatrième trimestre 2020, les cas d'utilisateurs allemands d'ordinateurs Windows signalant des anomalies non spécifiques se multiplient. Gootkit, un cheval de Troie bancaire bien connu, est de retour et cible particulièrement les utilisateurs allemands.

Dans la plupart des cas, les victimes ne remarquent pas que leur ordinateur a été compromis jusqu'à ce qu'elles reçoivent, dans le meilleur des cas, un message via leur fournisseur d'accès à Internet indiquant que l'un de leurs appareils communique avec un réseau de zombies. Les contrôles effectués ensuite par l'utilisateur au moyen de programmes antivirus ne révèlent pour la plupart aucune infection, si bien que la perplexité est grande.

Gootkit est un cheval de Troie bancaire connu depuis 2014. Il dispose de nombreuses fonctions malveillantes permettant de voler des informations sur les ordinateurs de ses victimes. Il s'agit notamment d'une fonctionnalité d'enregistreur de frappe, d'une capacité d'enregistrement vidéo de l'écran ou encore d'un accès à distance pour les pirates.

Dans certains cas, des règles de redirection involontaires ont en outre été mises en place dans les boîtes aux lettres électroniques afin de les laisser s'écouler, par exemple pour des campagnes de phishing ultérieures. Après une pause d'un an, ce cheval de Troie est de retour avec un nouveau camouflage.

Le développement ultérieur de ce cheval de Troie permet, après l'obtention de la persistance, une existence sans fichier sur l'ordinateur de sa victime. Il ne se présente donc pas comme un fichier autonome sur le disque dur, mais agit uniquement dans la mémoire vive. Pour qu'il puisse survivre à un redémarrage de l'ordinateur, son code obfusqué se trouve dans des clés variables de la base de données du registre Windows. Le cheval de Troie parvient ainsi à se cacher de certaines solutions de prévention des intrusions et de certains programmes antivirus.

Dans la vague actuelle de menaces, les criminels abusent des serveurs web étrangers présentant des failles de sécurité pour afficher aux visiteurs potentiels, par le biais de l'empoisonnement SEO, de faux messages de forum spécialement conçus pour répondre à leurs préoccupations. Cela a pour conséquence que, lors d'une recherche sur Internet, en particulier pour des modèles et des échantillons, la victime tombe sur un message de forum créé de manière dynamique et à l'apparence utile, dans lequel se trouve un fichier avec le modèle approprié à télécharger. On peut remarquer ici que ce fichier porte les termes de recherche de la victime dans son nom de fichier afin de paraître attractif et insoupçonnable.

Participer activement à la réflexion

Si ce fichier est téléchargé et ensuite exécuté, l'infection suit son cours. Le programme JavaScript contenu dans le fichier se connecte à son serveur de commande et de contrôle sans que l'on s'en aperçoive et télécharge un autre script qui contient le véritable logiciel malveillant. Dans la plupart des cas, il s'agit de la variante sans fichier du cheval de Troie Gootkit.

Dans certains cas, on a toutefois observé la distribution d'une variante du ransomware REvil, également sans fichier. REvil, également connu sous le nom de Sodinokibi, est distribué en tant que ransomware as a service (RaaS) et fait partie des chevaux de Troie de chiffrement avec une extorsion supplémentaire par la fuite et la publication de données.

Si un ordinateur a été infecté par un tel logiciel malveillant sans fichier, il convient de faire appel immédiatement à une aide professionnelle afin de pouvoir évaluer l'ampleur des dommages et les effets du logiciel malveillant. Ce n'est qu'ainsi que les bonnes mesures de nettoyage pourront être prises.

Pour éviter qu'une infection ne se produise, l'utilisateur doit participer activement à la réflexion. Est-il possible de déterminer avec certitude l'origine et la plausibilité d'une pièce jointe à un e-mail ou d'un téléchargement ? Si l'on n'en est pas sûr, la règle générale est la suivante : éloigner le curseur de la souris du fichier !

networker-solutionsCI-Banner.jpg
avatar
Silvana Rößler

Responsable de la réponse aux incidents de sécurité chez Networker, Solutions


Tous les articles de l'auteur

Écrire un commentaire

Cybercriminalité, transformation de la main-d'œuvre et IA

10 ans de S/4 : une voiture de course avec le frein à main API serré

L'évolution du directeur financier

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.