MosaicLoader : le programme malveillant qui vole les mots de passe sous Windows
En début du mois d’août, les chercheurs en sécurité informatique de la société de sécurité BitDefender ont la découverte d’un nouveau programme malveillant.
Il se nomme « MosaicLoader ».
« Nous l’avons nommé MosaicLoader en raison de sa structure interne complexe qui vise à confondre les analystes de logiciels malveillants et à empêcher la rétro-ingénierie », a signifié Bitdefender dans un billet de blog. Sa fonctionnalité principale serait entre autres de voler les mots de passe Windows sur les terminaux qu’il infecte.
Cet article va aussi vous intéresser : La société de sécurité qui relève des milliers de mots de passe voler sur Google sans aucune protection
Selon les spécialistes de BitDefender, il suffirait d’un simple clic pour qu’il infecte un ordinateur sous Windows. Il a commencé à se propager à travers les publicités des moteurs de recherche. En d’autres termes, cliquer sur un lien sponsorisé sur un moteur de recherche exposé votre machine et votre mot de passe par ricochet. D’une manière ou d’une autre, c’est un programme malveillant très dangereux qui peut se déployer très facilement.
La manière dont ce programme informatique a été conçu empêche les antivirus non seulement de le détecter, mais aussi de comprendre la manière dont il fonctionne. Ce qui le rend notamment difficile à gérer.
Pour s’assurer de rendre très difficile la détection de ce programme malveillant, les attaquants derrière ce logiciel ont utilisé plusieurs techniques dont celle d’obscurcissement qui consiste en « la présence de sauts qui divisent le code en petits morceaux », explique les chercheurs de BitDefender. « Certains de ces sauts sont conditionnels, mais le code au-dessus d’eux garantit que les conditions sont toujours remplies (…) Cette technique rend le code difficile à suivre lors de la rétro-ingénierie et donne l’impression que la section ne contient que des données. (…) Entre les morceaux de code se trouvent également des octets de remplissage aléatoires. Ces octets aident à maintenir l’impression que la section contient des données. Le flux de code saute par-dessus ces parties et n’exécute que les petits morceaux significatifs. ».
En combinant toutes les techniques qu’ils ont plus développés, les informatiques peuvent alors brouiller l’ordre des morceaux à exécuter pouvant faire passer le flux d’un morceau à un autre
« Il crée une structure semblable à une mosaïque où le code des fonctions n’est pas contigu et des morceaux de différentes fonctionnalités sont entrelacés. Même si nous démêlons les sauts, nous ne pouvons pas obtenir de fonctions individuelles, car dans certains cas, le malware omet l’utilisation d’instructions d’appel, sautant directement à l’adresse souhaitée. », note les chercheurs de BitDefender.
Vu l’originalité de la méthode utilisée pour le concevoir et pour le reprendre, s’éloignant ici des habituels phishing ou des exploitations de failles de données, l’utilisateur lambda est grandement exposé en ce sens qu’il ne va pas sentir venir la menace. La contamination est donc facile et réalisable à souhait. Surtout qu’il n’y a pas de signe distinctif permettant de savoir quel lien peut être corrompu au moins.
Le conseil le plus simple à suivre dans cette situation et d’éviter de télécharger des applications venant de sites peu connus ou de sites peu fiables. Un conseil assez commun mais qui doit être rappelé en circonstance.
Quels sont exactement les fonctionnalités de ce nouveau programme malveillant ?
« Les attaquants à l’origine de MosaicLoader ont créé un logiciel malveillant capable de fournir n’importe quelle charge utile sur le système, ce qui le rend potentiellement rentable en tant que service de livraison », explique les chercheurs de BitDefender dans leur a rapport. « Il télécharge un pulvérisateur de logiciels malveillants qui obtient une liste d’URL du serveur de commande et de contrôle (C2) et télécharge les charges utiles à partir des liens reçus. », ajoute ces derniers.
Selon la description de spécialiste de BitDefender, le logiciel virus infecte le terminal Windows. Une fois réalisé, il va mettre en place un ensemble de processus assez complexe à la chaîne pour ensuite télécharger un ensemble de menaces.
« Le danger de cette application, c’est qu’elle peut diffuser n’importe quel logiciel malveillant dans le système. Son objectif est de télécharger une liste des logiciels malveillants provenant des sources d’infection contrôlées par des attaquants et de les exécuter. », note la société de cybersécurité dans son billet de blog.
Ces virus supplémentaires peuvent être des chevaux de Troie, des voleurs de cookies ou encore des logiciels de minage de crypto monnaie. En d’autres termes tout type de logiciel malveillant imaginable.
Selon la description de la société de cybersécurité, ce programme malveillant fait déjà des ex team partout dans le monde. Pour un logiciel capable de réaliser une telle exploit avec une facilité de contamination à la chaîne, on peut nettement imaginer les conséquences que cela peut engendrer. Surtout dans un contexte où, une simple généralité peut s’avérer très dramatique.
Malgré cela il est possible de vérifier si votre ordinateur n’est pas infecté par ce logiciel malveillant. On peut aussi vérifier si ce dernier tu n’as pas ajouter d’exclusion à Windows Defender. Pour cela il faut se rendre à la base de registre en tapant simplement dans la barre de recherche de Windows 10 ou de Windows 11 « Regedit ». Dans les clés de registre en suivant il est possible de voir apparaître les exclusions :
– Exclusions de fichiers et de dossiers :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
– Exclusions de type de fichier :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions
– Exclusions de processus :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
Accédez maintenant à un nombre illimité de mot de passe :