Microsoft affirme avoir démantelé un service de signature de logiciels malveillants (MSaaS) baptisé Fox Tempest, qui aidait les cybercriminels à faire passer leurs logiciels malveillants pour des programmes légitimes.
Ce service permettait aux clients de soumettre des fichiers malveillants afin qu'ils soient signés numériquement à l'aide de certificats à durée de validité limitée émis par Microsoft, ce qui donnait à ces logiciels malveillants une apparence légitime et leur permettait de contourner plus facilement les contrôles de sécurité.
Le service de Fox Tempest s'articulait autour d'un processus de signature destiné aux clients, dans le cadre duquel les cybercriminels pouvaient télécharger des fichiers binaires malveillants sur un portail, les faire signer à l'aide de certificats valables seulement 72 heures, puis recevoir des fichiers qui semblaient provenir d'une source logicielle de confiance.
Microsoft indique clairement que cette approche a permis au logiciel malveillant de contourner les contrôles de sécurité et de passer outre les défenses qui, en temps normal, auraient signalé un code non signé suspect. De nombreux outils de sécurité considèrent les binaires signés comme plus fiables que ceux qui ne le sont pas, en particulier dans les environnements qui s'appuient sur des listes d'autorisation et la réputation de l'éditeur. Fox Tempest a exploité cette hypothèse en utilisant des certificats obtenus frauduleusement pour faire passer le logiciel malveillant pour un logiciel légitime, augmentant ainsi les chances qu'il soit exécuté et qu'il atteigne sa cible.
Un certificat d'apparence fiable peut aider un logiciel malveillant à passer les premiers contrôles, en particulier lorsqu'il est associé à des techniques d'ingénierie sociale, à des publicités payantes, à l'empoisonnement SEO ou à de fausses pages de téléchargement. Dans cette campagne, la couche de signature a permis à des programmes d'installation malveillants de se faire passer pour des produits tels que AnyDesk, Teams, PuTTY et Webex, ce qui correspond exactement au type d'abus susceptible de passer entre les mailles des dispositifs de contrôle fondés sur la réputation et la confiance.
Ces certificats frauduleux ont été utilisés pour diffuser des ransomwares et des logiciels de vol de données. Ces campagnes de logiciels malveillants ont eu des répercussions considérables, les attaques ayant touché les secteurs de la santé, de l'éducation, des administrations publiques et des services financiers dans plusieurs pays.
Comment rester en sécurité
Les révélations de Microsoft montrent que la cybercriminalité a évolué au-delà du simple cadre des « auteurs de logiciels malveillants » pour devenir une économie de services où certains groupes se spécialisent dans la création d’un climat de confiance tandis que d’autres en tirent profit.
Pour les responsables de la sécurité, la principale leçon à retenir est de ne pas considérer la signature de code comme une mesure de sécurité isolée.
À l'attention des consommateurs :
- N'oubliez pas de ne télécharger des logiciels qu'à partir du site officiel du fournisseur, du Microsoft Store ou d'une autre source en laquelle vous avez déjà confiance. Évitez les boutons de téléchargement figurant sur les liens envoyés via les réseaux sociaux, les messages privés ou les e-mails.
- Méfiez-vous des résultats de recherche « sponsorisés » et des publicités pour les applications populaires.
- Utilisez une solution anti-malware à jour et fonctionnant en temps réel, qui détecte les comportements malveillants plutôt que de se contenter de comparer des signatures.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
