Des pirates détournent un outil de Kaspersky pour séactiver les protections antivirus des systèmes ciblés ©  NicoElNino /Shutterstock
Des pirates détournent un outil de Kaspersky pour séactiver les protections antivirus des systèmes ciblés © NicoElNino /Shutterstock

Serait-ce une histoire d’arroseur arrosé ? Alors que Kaspersky délivre en temps normal des outils garants de la sécurité des PC, le gang RansomHub se sert activement d’un de ses logiciels obsolètes pour désactiver les protections EDR des systèmes attaqués.

Si vous utilisez encore TDSSKiller, désinstallez-le vite. Outil gratuit initialement développé pour neutraliser les rootkits et les bootkits, le logiciel n’est plus mis à jour par Kaspersk (de plus en plus persona non grata) depuis près de trois ans. Un laps de temps suffisamment long pour permettre aux pirates de découvrir et d’exploiter des vulnérabilités, à l’image de RansomHub, qui s’en sert activement pour désactiver les systèmes de détection et de réponses des points terminaux (EDR) des appareils attaqués.

Une technique déjà utilisée par Lockbit

Repéré en pleine action par les équipes de recherche de Malwarebytes, RansomHub a manifestement trouvé le moyen d’exploiter TDSSKiller pour infiltrer les ordinateurs sur lesquels ils sont installés, et, dans la foulée, désactiver les systèmes EDR censés les protéger.

Dans le détail, le gang aurait exploité une faille du logiciel obsolète de Kaspersky pour intégrer une commande malveillante dans l’exécution des scans, destinée à désactiver les services de sécurité protégeant le système, ici Malwarebytes Anti-Malware. Dans la mesure où les pirates bénéficiaient de privilèges administrateur élevés requis par TDSSKiller, ils sont parvenus à leur fin.

L’analyse de l’incident relevé par les équipes de Malwarebytes révèle que la commande corrompue comporte l’indicateur « -dcsvc » (tdsskiller.exe -dcsvc MBAMService), déjà utilisé par Lockbit dans d’autres attaques pour supprimer le service de protection spécifié ainsi que les clés de registre et les exécutables associés, tandis que les attaquants auraient tenté d’exécuter TDSSKiller à partir d’un répertoire temporaire (C\Users\<User>\AppData\Local\Temp\) à l’aide d’un nom généré dynamiquement du type {89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe.

La commande "-dcscv" permettant aux hackers de désactiver les systèmes EDR des PC attaqués © Malwarebytes
La commande "-dcscv" permettant aux hackers de désactiver les systèmes EDR des PC attaqués © Malwarebytes

Les identifiants en ligne de mire

Si TDSSKiller a été utilisé par RansomHub pour affaiblir les défenses des systèmes ciblés, l’objectif de l’attaque est tout autre. Une fois les protections antivirus désactivés, le gang a tenté de déployer LaZagne, outil légitime de récupérations de mots de passe stockées sur le système. Une fois activé, LaZagne collecte les identifiants de connexion à partir de plusieurs applications installées, comme les navigateurs, les clients mail et les bases de données, permettant aux pirates d’agir de manière latérale sur le réseau.

À noter qu’en ciblant les identifiants des bases de données, les hackers cherchent à accéder à des infrastructures critiques et à mettre la main sur des informations sensibles, parmi lesquels des noms d’utilisateur et des mots de passe. D’après l’attaque étudiée par Malwarebytes, l’outil malveillant aurait généré une soixantaine d’écritures de fichiers, correspondant probablement à des logs d’identifiants dérobés.

Source : Malwarebytes

Malwarebytes
    10 / 10

    Malwarebytes est un logiciel de sécurité informatique qui permet de détecter et de supprimer les logiciels malveillants, les virus et les programmes potentiellement indésirables sur votre ordinateur. Il est disponible sur plusieurs plateformes, notamment sur Windows, Mac et Android.

    Les plus
    • Excellent moteur de détection
    • Interface moderne