En bref : Le journal des événements Windows et l’Observateur d’événements sont censés aider les utilisateurs à diagnostiquer les problèmes de sécurité et autres problèmes sur les PC. Cependant, les chercheurs de Kaspersky ont rencontré un pirate informatique qui utilisait le journal des événements lui-même contre leur cible.
La semaine dernière, Kaspersky a publié une analyse détaillée d’une attaque complexe qui a commencé l’automne dernier. Cela impliquait une combinaison de diverses techniques et logiciels, mais les chercheurs en sécurité de Kaspersky ont souligné l’utilisation des journaux d’événements Windows comme quelque chose de complètement nouveau.
À une étape de la campagne de piratage, l’attaquant a inséré un shellcode dans les journaux d’événements Windows de la cible. Cette méthode de stockage des logiciels malveillants est particulièrement furtive car elle ne laisse aucun fichier à détecter par l’antivirus.
La campagne impliquait également une vaste suite de logiciels commerciaux et maison. Cela impliquait le détournement de DLL, un cheval de Troie, des wrappers anti-détection, l’imitation de domaine Web, etc. L’attaquant a même personnellement signé certains de ses logiciels personnalisés pour le rendre plus légitime.
L’ampleur et le caractère unique de l’attaque indiquent qu’elle a été adaptée à un système cible spécifique. La première étape impliquait l’ingénierie sociale, dans laquelle l’attaquant a convaincu la victime de télécharger et d’exécuter un fichier .rar à partir du site légitime de partage de fichiers file.io en septembre. Si rien d’autre, cela devrait être un rappel contre le fait de cliquer sur des liens provenant d’étrangers, et encore moins de télécharger et d’exécuter des fichiers à partir d’eux.
Kaspersky n’a pas pu lier l’attaque à des suspects connus, ni déterminer son objectif ultime. Cependant, les chercheurs ont déclaré à BleepingComputer que des attaques similaires visent généralement à récupérer des données précieuses sur leurs cibles.