Il ne se passe plus une semaine sans que de grands acteurs de la tech ne découvrent de nouveaux malwares ou des vulnérabilités zero-day activement exploitées par les pirates.
Microsoft a annoncé ce 12 avril avoir découvert un malware particulièrement agressif qui se cache dans les tâches planifiées de Windows 11 et 10.
Un malware chinois infecte les PC Windows
Les cyberattaques n’en finissent plus. Depuis plusieurs mois, le nombre de malwares et de virus qui viennent polluer les boutiques d’applications et les appareils ne cesse de croître. Une recrudescence qui est apparue depuis le début de la guerre en Ukraine, alors que des hackers affiliés aux gouvernements chinois et russes tentent de voler les données personnelles des utilisateurs partout dans le monde. Entre de fausses applications antivirus sur le Google Play Store ou encore un détournement de VLC pour diffuser des malwares dangereux, les exemples sont aussi nombreux qu’alarmants.
Le dernier en date nous vient de Hafnium, un collectif de pirates soutenu par la Chine, qui s’est directement attaqué à Windows 10 et 11 en exploitant des failles zero-day non identifiées. Microsoft a en effet partagé sa dernière trouvaille en la matière : un malware baptisé Tarrask. Selon la firme de Redmond, ce logiciel malveillant serait capable de créer des tâches programmées en secret puis de les supprimer l’air de rien grâce à des commandes ultérieures. Dans ces conditions, le maliciel peut facilement être dissimulé et passer sous le radar des moyens de détection traditionnels.
Des tâches planifiées cachées difficiles à repérer
Plus concrètement, les pirates chinois ont utilisé les tâches planifiées pour conserver l’accès aux appareils de leurs victimes et ce, même après une réinitialisation complète et en rétablissant les connexions interrompues avec l'infrastructure de commande et de contrôle C2. Microsoft alerte, elles ne peuvent être trouvées qu’à partir d’un examen minutieux dans l’éditeur de registre Windows en recherchant directement les fameuses tâches planifiées qui n’auraient pas de valeur SD (descriptif de sécurité) dans la clé de tâche.
Autant dire que les utilisateurs lambdas auront bien du mal à contrer et à détecter ce nouveau malware. Microsoft recommande tout de même aux administrateurs des PC Windows 11 et 10 d’activer les journaux « Security.evtx et Microsoft-Windows-TaskScheduler/Operational.evtx » pour vérifier une éventuelle présence de tâches cachées par le malware. Microsoft Defender sera désormais capable de les détecter sous les appellations « HackTool:Win64/Tarrask!MSR » et « HackTool:Win64/Ligolo!MS ».
Source : Microsoft
