Infos

Kovter maîtrise l’infection sans fichiers

D’après Symantec, une nouvelle version du Trojan-Clicker Kovter est capable d’exister uniquement dans la mémoire vive de l’ordinateur infecté et d’utiliser les outils système de Windows pour le chargement automatique.

Kovter est connu depuis 2013 et est utilisé principalement pour augmenter le nombre de clics sur les bannières publicitaires. Ce type d’escroquerie rapporte de l’argent aux exploitants des malwares de cette catégorie. Ce Clicker est sans perfectionné, il adopte de nouvelles méthodes de protection et apparaît de temps à autres dans différentes campagnes malveillantes. Ainsi, en juin dernier, il prouvé qu’il était capable d’appliquer un correctif à l’applicatio Flash Player des victimes afin qu’elles puissent voir les vidéos publicitaires et éviter ainsi des pertes de revenus à ses opérateurs. Ce même mois, les chercheurs de SANS ISC ont découvert une campagne de courrier indésirable de grande ampleur qui visait à diffuser Kovter avec un autre clicker: Miuref. Il y a également eu des cas où Kovter téléchargeait un malware d’escroquerie.

Symantec observe dans la nature la nouvelle version du Trojan (2.0.3) depuis le mois de mai. Une fois sur votre ordinateur, ce Trojan vérifie d’abord si PowerShell est présent. Si ce n’est pas le cas, Kovter le télécharge sur Internet (en l’absence de connexion lors de l’infection, le malware s’installe dans le système de manière traditionnelle en enregistrant son fichier sur le disque dur).

Le malware modifie également les clés du registre pour garantir le chargement du module principal dans la mémoire à chaque démarrage du système. Il supprime ensuite le fichier temporaire du disque qui avait été téléchargé à la première étape de l’infection. Comme le signalent les experts, cette méthode sans fichier est également adoptée par Poweliks,un autre clicker connu, quoique plus récent. Grâce à cette technique, le malware peut déjouer les logiciels antivirus qui analysent les fichiers à l’aide de signatures. Il faut signaler que Microsoft a limité cette possibilité au début de cette année en améliorant la sanitarisation des chemins d’accès aux fichiers dans Windows.

D’après les données de Symantec, le Trojan actualisé sert uniquement pour l’instant à augmenter le nombre de clics. Il se propage principalement via des bannières publicitaires ou des pièces jointes dans des messages de courrier indésirable. Il s’agit en général d’un fichier au format .zip ou .scr. Les versions antérieures de Kovter étaient également livrées à l’aide des kits d’exploitation Angler, Fiesta, Nuclear, Neutrino et Sweet Orange.

D’après les statistiques de Symantec, la nouvelle version de Kovter attaque principalement les utilisateurs aux Etats-Unis (56 % des infections) et en Grande-Bretagne (13 %). Et dans une moindre mesure, les utilisateurs en Allemagne et au Canada (8 et 9 % respectivement).

Source: Softpedia

Kovter maîtrise l’infection sans fichiers

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception