Kovter maîtrise l’infection sans fichiers

D’après Symantec, une nouvelle version du Trojan-Clicker Kovter est capable d’exister uniquement dans la mémoire vive de l’ordinateur infecté et d’utiliser les outils système de Windows pour le chargement automatique.

Kovter est connu depuis 2013 et est utilisé principalement pour augmenter le nombre de clics sur les bannières publicitaires. Ce type d’escroquerie rapporte de l’argent aux exploitants des malwares de cette catégorie. Ce Clicker est sans perfectionné, il adopte de nouvelles méthodes de protection et apparaît de temps à autres dans différentes campagnes malveillantes. Ainsi, en juin dernier, il prouvé qu’il était capable d’appliquer un correctif à l’applicatio Flash Player des victimes afin qu’elles puissent voir les vidéos publicitaires et éviter ainsi des pertes de revenus à ses opérateurs. Ce même mois, les chercheurs de SANS ISC ont découvert une campagne de courrier indésirable de grande ampleur qui visait à diffuser Kovter avec un autre clicker: Miuref. Il y a également eu des cas où Kovter téléchargeait un malware d’escroquerie.

Symantec observe dans la nature la nouvelle version du Trojan (2.0.3) depuis le mois de mai. Une fois sur votre ordinateur, ce Trojan vérifie d’abord si PowerShell est présent. Si ce n’est pas le cas, Kovter le télécharge sur Internet (en l’absence de connexion lors de l’infection, le malware s’installe dans le système de manière traditionnelle en enregistrant son fichier sur le disque dur).

Le malware modifie également les clés du registre pour garantir le chargement du module principal dans la mémoire à chaque démarrage du système. Il supprime ensuite le fichier temporaire du disque qui avait été téléchargé à la première étape de l’infection. Comme le signalent les experts, cette méthode sans fichier est également adoptée par Poweliks,un autre clicker connu, quoique plus récent. Grâce à cette technique, le malware peut déjouer les logiciels antivirus qui analysent les fichiers à l’aide de signatures. Il faut signaler que Microsoft a limité cette possibilité au début de cette année en améliorant la sanitarisation des chemins d’accès aux fichiers dans Windows.

D’après les données de Symantec, le Trojan actualisé sert uniquement pour l’instant à augmenter le nombre de clics. Il se propage principalement via des bannières publicitaires ou des pièces jointes dans des messages de courrier indésirable. Il s’agit en général d’un fichier au format .zip ou .scr. Les versions antérieures de Kovter étaient également livrées à l’aide des kits d’exploitation Angler, Fiesta, Nuclear, Neutrino et Sweet Orange.

D’après les statistiques de Symantec, la nouvelle version de Kovter attaque principalement les utilisateurs aux Etats-Unis (56 % des infections) et en Grande-Bretagne (13 %). Et dans une moindre mesure, les utilisateurs en Allemagne et au Canada (8 et 9 % respectivement).

Source: Softpedia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *