Les Cybercriminels Exploitent BoxedApp pour Disséminer des Malwares

Un rapport récent de Check Point Research met en lumière une tendance inquiétante : les acteurs malveillants abusent de logiciels de compression légitimes tels que BoxedApp pour dissimuler et distribuer des malwares sophistiqués comme les chevaux de Troie d’accès à distance et les voleurs d’informations.

Jiri Vinopal, un chercheur en sécurité chez Check Point, a indiqué que ces échantillons malveillants ciblent principalement les institutions financières et les administrations gouvernementales.

Selon le rapport, l’utilisation de BoxedApp a connu une hausse significative vers mai 2023, avec une augmentation des soumissions d’artefacts sur VirusTotal, une plateforme de scan de malwares détenue par Google.

Ces soumissions provenaient principalement de pays tels que la Turquie, les États-Unis, l’Allemagne, la France, et la Russie.

Pourquoi BoxedApp est Préféré par les Attaquants

Les logiciels de compression, ou packers, tels que BoxedApp, sont initialement conçus pour réduire la taille des fichiers en les empaquetant.

Cependant, ces outils sont de plus en plus détournés par les cybercriminels pour ajouter une couche supplémentaire d’obfuscation à leurs charges utiles, rendant ainsi leur détection et leur analyse plus difficiles pour les logiciels de sécurité.

BoxedApp Packer, par exemple, peut empaqueter à la fois des exécutables natifs et .NET, tandis que BxILMerge se concentre uniquement sur les applications .NET.

Ces outils offrent donc une flexibilité et des fonctionnalités avancées qui rendent les malwares beaucoup plus difficiles à détecter par les logiciels de sécurité traditionnels.

En utilisant BoxedApp, les attaquants peuvent non seulement réduire le taux de détection de leurs charges utiles malveillantes mais aussi exploiter les capacités avancées de BoxedApp SDK, telles que le stockage virtuel, sans avoir à les développer eux-mêmes.

Toutefois, cela entraîne également un taux élevé de faux positifs, car les applications empaquetées de manière si sophistiquée sont souvent suspectées par les moteurs antivirus.

Le Spectre Élargi des Malwares

Les familles de malwares propagées via ces moyens incluent des noms bien connus tels que Agent Tesla, AsyncRAT, LockBit, NanoCore, et XWorm, parmi d’autres.

Un packer illicite surnommé NSIXloader, utilisant le système de script NSIS, est également noté pour son utilisation répandue dans la distribution de divers payloads malveillants, soulignant sa commercialisation sur le dark web.

Alexey Bukhteyev, un chercheur en sécurité, explique que l’avantage pour les cybercriminels réside dans le fait que NSIS permet de créer des échantillons qui apparaissent au premier abord comme des installateurs légitimes.

La capacité de compression propre à NSIS et ses fonctions de script permettent de transférer des fonctionnalités malveillantes directement dans le script, compliquant ainsi davantage l’analyse.

Les acteurs malveillants ne se limitent pas aux systèmes Windows.

L’équipe de recherche XLab de QiAnXin a révélé des détails sur un autre packer nommé Kiteshield, qui est utilisé par des groupes tels que Winnti et DarkMosquito pour cibler les systèmes Linux.

Kiteshield, un packer/protecteur pour les binaires Linux, enveloppe les binaires ELF avec plusieurs couches de cryptage et injecte un code de chargeur qui décrypte, mappe et exécute le binaire emballé entièrement en mode utilisateur.

Implications et Recommandations

L’usage accru de packers légitimes pour des fins malveillantes pose un défi majeur aux solutions de sécurité existantes.

Les entreprises et les particuliers doivent être conscients de cette menace et adopter des approches de sécurité multicouches.

L’utilisation de solutions de détection basées sur le comportement et l’intelligence artificielle peut aider à identifier des anomalies que les méthodes de détection traditionnelles pourraient manquer.

En résumé, la capacité des cybercriminels à détourner des outils légitimes pour mener leurs attaques souligne l’importance d’une vigilance constante et d’une adaptation continue des stratégies de cybersécurité.

La compréhension et la surveillance des techniques d’attaque émergentes, comme l’abus de packers commerciaux, sont essentielles pour protéger les infrastructures numériques vitales.

Un Danger Invisible pour les Entreprises

L’exploitation de BoxedApp pour dissimuler des malwares représente un risque significatif pour les entreprises.

Les institutions financières et les administrations gouvernementales, en particulier, sont exposées à des chevaux de Troie d’accès à distance qui peuvent exfiltrer des données sensibles ou prendre le contrôle des systèmes.

L’impact pourrait être catastrophique, allant de pertes financières à des violations de données compromettant la confidentialité et l’intégrité des informations.

Des perturbations opérationnelles majeures pourraient également survenir, affectant la confiance des clients et imposant des coûts de remédiation élevés.

Comment se Protéger Efficacement

Pour atténuer ces risques, les entreprises doivent adopter une approche de sécurité multicouche incluant des solutions avancées de détection des comportements et d’intelligence artificielle.

Mettre régulièrement à jour les logiciels et sensibiliser les employés aux techniques de phishing et aux dangers des pièces jointes non vérifiées est également crucial.

En complément, des audits de sécurité réguliers et l’intégration de technologies de sandboxing peuvent aider à identifier et neutraliser les malwares avant qu’ils ne causent des dommages.