Kaspersky Lab détecte un dangereux rootkit visant les systèmes Windows 64 bits
L'éditeur de solutions de sécurité informatique annonce la détection de rootkits multifonctions susceptibles de représenter une menace pour les systèmes Windows 32 et 64 bits. La version 64 bits a pour principale caractéristique de ne pas tenter de contourner le système de protection du noyau PatchGuard mais d’utiliser une signature numérique spéciale réservée aux développeurs. Le rootkit est distribué via un téléchargeur, qui tente également d’installer d’autres logiciels malveillants.
Les experts de Kaspersky Lab ont découvert une variante visant à télécharger et installer sur le système d’exploitation Mac OS X un pseudo-logiciel antivirus Rogue ou Fake, ainsi que d’autres programmes malveillants. Bien que ce malware ne puisse de toute évidence pas fonctionner en environnement Windows, il révèle que les cybercriminels manifestent un intérêt croissant pour les autres plates-formes.
Les rootkits sont des programmes malveillants qui se présentent généralement sous la forme de pilotes (drivers) et peuvent s’exécuter au niveau du noyau d’un système d’exploitation en se chargeant en mémoire au moment du démarrage de l’ordinateur, ce qui rend leur détection difficile par les outils de protection habituels.
Les rootkits en question sont propagés par l’intermédiaire d’un téléchargeur, exploitant un ensemble de fonctions malveillantes regroupées sous l’appellation « BlackHole Exploit Kit ». Typiquement, les ordinateurs infectés sont ceux des internautes qui se rendent sur des sites Web contenant le téléchargeur. Un certain nombre de vulnérabilités présentes dans des logiciels courants tels que JRE (Java Runtime Environment) et Adobe Reader sont utilisées pour attaquer la machine cible. Le téléchargeur infecte les systèmes Windows 32 bits et 64 bits avec l’un des deux rootkits correspondants.
« Le pilote 64 bits porte une sorte de signature numérique de test. Si Windows – Vista ou ultérieur – est amené à démarrer en mode TESTSIGNING, des applications peuvent lancer les pilotes comportant ce type de signature. Il s’agit d’une porte d’entrée spéciale que Microsoft a ménagée pour les développeurs de pilotes afin que ceux-ci puissent tester leurs créations. Des cybercriminels ont mis à profit cette faille qui leur permet de lancer leurs pilotes sans disposer d’une signature légitime », explique Alexander Gostev, expert en sécurité chez Kaspersky Lab.
« Il s’agit d’un nouvel exemple de rootkit qui n’a pas besoin de contourner le système de protection PatchGuard intégré aux plus récents systèmes Windows x64. »
Les deux rootkits présentent des fonctionnalités similaires. Ils bloquent les tentatives des utilisateurs d’installer ou de lancer les logiciels antimalware courants afin de se protéger efficacement en interceptant et en surveillant l’activité du système. Tandis que le rootkit laisse le PC vulnérable aux attaques, le téléchargeur s’efforce d’obtenir et d’exécuter du code malveillant, notamment l’antivirus Rogue pour Mac OS X, mentionné plus haut. Ce faux antivirus, également connu sous le nom de Hoax.OSX.Defma.f, est l’une des menaces émergentes pour Mac OS X, lequel est de plus en plus visé par les cybercriminels.
Cet exemple montre que les logiciels malveillants gagnent en complexité et commencent à inclure plusieurs composants remplissant différentes fonctions. Ces menaces peuvent viser diverses versions de systèmes d’exploitation, voire d’autres plates-formes logicielles. (Source ITR News)