Archives par mot-clé : Fileless

backdoor, Cybersécurité

Minage furtif en Corée, un cybercafé piégé en pleine mémoire vive

Un pirate a détourné la puissance de calcul d’un cybercafé sud-coréen grâce à un malware injecté directement dans la mémoire, contournant toutes les protections classiques.

Dans un incident révélateur des nouvelles techniques d’attaque numérique, un cybercafé sud-coréen a été la cible d’un piratage particulièrement sophistiqué. L’assaillant, loin de se contenter de déposer un simple fichier malveillant, a infiltré directement la mémoire vive des ordinateurs, exploitant des failles comportementales pour dissimuler ses traces. Une cyberattaque qui a non seulement défié les logiciels antivirus, mais qui révèle aussi une nouvelle étape dans l’évolution du minage de cryptomonnaies à des fins frauduleuses.

Une infection furtive et ciblée

L’attaque ne s’est pas appuyée sur une diffusion massive de logiciels malveillants, mais sur une stratégie beaucoup plus ciblée, fondée sur la connaissance approfondie de l’environnement logiciel des cybercafés. L’assaillant a utilisé Gh0st RAT, un cheval de Troie d’accès à distance bien connu, pour prendre le contrôle des systèmes informatiques. Mais plutôt que d’installer l’outil de minage de manière classique, il a injecté un code directement dans la mémoire des processus en cours, une technique souvent qualifiée d’ »injection en mémoire » ou « fileless malware » dans le jargon de la cybersécurité.

Cette méthode repose sur l’identification d’un processus légitime déjà en exécution. Une fois identifié, le logiciel malveillant compare sa structure avec un modèle de référence, puis modifie dynamiquement sa mémoire. L’opération permet d’exécuter du code sans écrire de fichier sur le disque dur, ce qui empêche les antivirus traditionnels de repérer l’intrusion.

« Le fichier exécutable cmd.exe du dossier système a également été remplacé« , a précisé Ekaterina Edemskaya. « Cela permettait au code malveillant de se lancer lors de certaines actions, comme s’il faisait partie du fonctionnement normal du système.« 

L’objectif de l’attaquant était clair : miner des cryptomonnaies en utilisant les ressources matérielles puissantes du cybercafé, conçues pour supporter des jeux vidéo gourmands en performances graphiques. Pour ce faire, il a choisi le mineur T-Rex, un logiciel spécialisé dans l’extraction de cryptomonnaies par GPU, compatible notamment avec les cartes graphiques Nvidia, largement utilisées dans les ordinateurs de gaming.

Ce choix est tout sauf anodin. Le mineur T-Rex est réputé pour sa stabilité, sa compatibilité avec des algorithmes variés, et surtout pour sa capacité à fonctionner discrètement en arrière-plan. Dans un environnement comme celui d’un cybercafé, où la puissance graphique est abondante et les utilisateurs nombreux, les profits potentiels issus du minage peuvent rapidement devenir substantiels.

Les cybercafés représentent une cible idéale pour ce type d’attaque. Le renouvellement fréquent des utilisateurs, l’accès physique limité à la maintenance du système, et la puissance matérielle disponible en font un terrain propice pour des opérations de minage frauduleux, surtout si aucune solution de sécurité avancée n’est en place.

Des antivirus dépassés, des solutions à repenser

L’un des enseignements majeurs de cette attaque est la limite des solutions de cybersécurité traditionnelles face aux menaces modernes. Les antivirus classiques reposent principalement sur l’analyse de fichiers présents sur le disque et l’identification de signatures connues. Or, dans le cas d’une attaque « fileless« , où le code malveillant réside uniquement en mémoire, ces systèmes sont pratiquement aveugles.

« Les antivirus standards échouent souvent dans ce domaine« , a mis en garde Edemskaya. « Les systèmes capables d’analyser le comportement des utilisateurs et des processus en dynamique sont donc particulièrement utiles.« 

Parmi ces solutions figurent les outils d’EDR (Endpoint Detection and Response), capables de détecter des anomalies comportementales, même en l’absence de fichiers suspects. Ces systèmes analysent en temps réel les processus actifs, leur consommation de ressources, les appels système, et peuvent ainsi détecter une activité de minage non déclarée ou une tentative d’injection mémoire.

Le cas du cybercafé sud-coréen montre également la nécessité de former les gestionnaires de systèmes informatiques à reconnaître les signes d’activités anormales. Une élévation soudaine de la consommation GPU, un comportement inhabituel de processus système comme cmd.exe, ou encore des ralentissements globaux peuvent être des indicateurs d’une exploitation malveillante.

Une tendance inquiétante, mais pas isolée

L’injection en mémoire n’est pas une technique nouvelle, mais son application au minage de cryptomonnaies en environnement public et commercial marque une évolution préoccupante. Selon les données de Kaspersky, les attaques liées au cryptojacking (minage frauduleux de cryptomonnaies via des machines tierces) ont augmenté de 40 % au premier trimestre 2024 par rapport à la même période en 2023.

L’un des attraits majeurs de ces attaques réside dans leur rentabilité discrète. Contrairement à un ransomware, qui expose immédiatement l’attaque en bloquant l’accès aux données, le cryptojacking permet à l’attaquant de générer des revenus passifs pendant des semaines, voire des mois, sans éveiller de soupçons.

Le coût énergétique, transféré à l’opérateur du cybercafé, et l’usure prématurée du matériel sont des conséquences directes de cette activité invisible. Dans un contexte de hausse des prix de l’électricité, cette forme de cybercriminalité s’inscrit dans une logique d’exploitation maximale des ressources disponibles.

Enfin, l’attaque souligne aussi une possible industrialisation de la méthode. Le recours à des outils comme Gh0st RAT, largement utilisés dans des campagnes d’espionnage informatique d’État ou d’organisations criminelles, montre que ces attaques ne relèvent plus du simple hobby de pirates isolés, mais d’une stratégie potentiellement automatisée et reproductible.

Cyber-attaque, Securite informatique

Hausse de 265 % des événements liés aux attaques sans fichiers !

Échappant aux mesures de sécurité traditionnelles, les menaces 2019 mettent les systèmes de défense à rude épreuve.

Un rapport publié met en évidence une recrudescence des attaques sans fichiers (fileless) visant à masquer des activités malveillantes. En comparaison avec le premier semestre 2018, les détections de cette menace spécifique ont augmenté de 265 %. Des analyses courant sur le premier semestre 2019.

Jusqu’à présent, les constatations réalisées en 2019 confirment bon nombre des prévisions faites par Trend Micro en fin d’année dernière. Les attaquants redoublent notamment d’efforts pour cibler les entreprises et les environnements offrant le plus grand retour sur investissement.

« Sophistication et discrétion sont aujourd’hui les maîtres mots en matière de cybersécurité, à mesure que les technologies au sein des entreprises et que les attaques des cybercriminels deviennent plus connectées et intelligentes », souligne Renaud Bidou, Directeur Technique Europe du Sud, Trend Micro. « Nous avons pu constater que les hackers ont des objectifs précis, avec des attaques ciblées et ingénieuses qui exploitent de manière furtive le facteur humain, les processus et la technologie. Cependant du côté des entreprises, avec la transformation numérique et les migrations vers le Cloud, la surface d’attaque s’est considérablement élargie. Pour faire face à cette évolution, les organisations ont besoin d’un partenaire technologique capable de combiner l’expertise humaine à des technologies de sécurité avancées afin de mieux détecter, corréler, traiter et contrecarrer les menaces. »

Parallèlement à la prolifération des attaques sans fichiers, les cybercriminels déploient de plus en plus de menaces non détectables via les filtres de sécurité classiques, car elles peuvent être exécutées en mémoire d’un système, résider dans la base de registre ou usurper des outils légitimes. Les kits d’exploits reviennent également en force, avec une augmentation de 136 % en comparaison de la même période en 2018.

Attaque Fileless

Les malwares destinés au minage de cryptomonnaies demeurent la menace la plus détectée au premier semestre 2019 et touchent de plus en plus les serveurs et les environnements Cloud. Autre prévision corroborée : le nombre de routeurs impliqués dans de potentielles attaques entrantes a bondi de 64 % comparé au premier semestre 2018, avec davantage de variantes de Mirai recherchant des appareils vulnérables.
 En outre, le nombre de stratagèmes d’extorsion numérique connaît une hausse de 319 % par rapport au second semestre 2018, ce qui concorde avec les projections précédentes. Les attaques de type BEC (Business Email Compromise) constituent toujours une menace substantielle, avec une augmentation de 52 % des cas détectés comparativement aux six derniers mois. Les fichiers, e-mails et URL liés aux ransomwares continuent également de se multiplier (+77 % au cours de la même période).
Au total, 26,8 milliards de menaces au cours du premier semestre 2019 ont été bloquées, soit 6 milliards de plus qu’à la même période l’année dernière. À noter que, dans 91 % des cas, l’e-mail a été le vecteur d’infection des réseaux d’entreprises. (Rapport)