Botnet low cost

Magazine
Marque
MISC
Numéro
91
Mois de parution
mai 2017
Domaines


Résumé

Une fois n’est pas coutume, en ce début d’année le Malware Corner ne vous dévoilera pas les détails du dernier RAT gouvernemental au doux nom évocateur des joies de l’enfance. Il ne vous livrera pas non plus les secrets du dernier rootkit UEFI ou de la dernière APT truffée de 0days. Non, pour une fois et sur la base d’un exemplaire récemment rencontré dans la vraie vie, le Malware Corner va s’intéresser au malware « low cost », au Trojan+RAT à la portée de toutes les bourses et destiné à compromettre la machine de M. Toutlemonde au profit du sous-prolétariat de la cybercriminalité.


1. Dropper AutoIt

Non, votre rubrique préférée ne s’est pas transformée en tuto pour hacker débutant. Il s’agit ce mois-ci d’étudier le fonctionnement d’un Trojan+RAT relativement basique récolté au mois d’octobre 2016 sur un PC d’entreprise où il n’était pas détecté par l’antivirus actif. Relativement basique, mais cependant assez efficace.

Le malware se nomme FPVMJY.EXE et arrive via une clé ou un disque USB compromis. L’exemplaire étudié a une taille de 2 861 677 octets, correspond au condensat MD5 3797217DF8624EC6A0FD8A556A87081D. Il a un score VirusTotal de 43/56 à la date de rédaction de cet article et un score de 30/56 au 27/10/2016. Il ne porte pas de date de compilation significative, néanmoins la date de build du RAT embarquée dans la configuration chiffrée, soit le 28/08/2016 semble crédible. La plupart des antivirus le qualifient de Trojan générique et certains de Backdoor Nanocore ou Nanobot. Comme nous allons le voir, il...

Cet article est réservé aux abonnés. Il vous reste 97% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

JsItBad : détecter du JavaScript malveillant sans l’exécuter

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

C’est théoriquement impossible, et pourtant c’est faisable en pratique. En s’inspirant d’une technique d’apprentissage statistique (Machine Learning) habituellement réservée au traitement du langage naturel, il est possible de déterminer avec une très grande précision si un bout de code en JavaScript est malveillant. Ces résultats s’étendent naturellement à tout langage interprété, mais sont mis en défaut par l’arrivée du WebAssembly.

Rançongiciels 101

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

Qu’ont en commun votre voisin, un fermier du Wisconsin, un centre hospitalier normand, les villes de Baltimore, de Johannesburg ou la Louisiane, la société Prosegur ? Tous ont été les victimes de ce qui en moins de dix ans est devenue une des principales menaces cyber : les rançongiciels.