Ce malware caché dans des logiciels piratés est indétectable par Windows Defender
Un malware d'un nouveau genre vient d'être découvert. Celui-ci parvient même à dissimuler ses méfaits aux yeux de l'antivirus Windows Defender. Le logiciel malveillant utilise un système tellement sophistiqué que les chercheurs qui l'ont découvert lui ont donné le nom de “MosaicLoader”.
MosaicLoader est un malware qui se dissimule dans les logiciels piratés, et plus précisément dans leur programme d'installation. Bitdefender, à l'origine de la découverte, met en garde sur la dangerosité du malware (ça, c'est habituel), mais aussi et surtout sur sa conception et sa méthode d'action hyper sophistiquées (ça, c'est moins habituel).
Le logiciel se cache donc dans un logiciel d'installation et une fois mis en place sur un PC, il va télécharger d'autres logiciels malveillants à partir d'une liste d'URL. Et bien évidemment, il ne se gêne pas pour les installer sur la machine. Mais ce qui pose peut-être vraiment problème, c'est que les malwares qu'il installe sont indétectables par l'antivirus Windows Defender, dont l'efficacité n'est pourtant plus à prouver.
MosaicLoader empêche Windows Defender d'analyser les malwares qu'il installe
MosaicLoader tire son nom de sa structure et de sa méthode d'installation plutôt complexes : le malware a été conçu de telle sorte qu'il empêche toute tentative de rétro-ingénierie. Dissimulé dans l'installeur d'un logiciel piraté, MosaicLoader commence par télécharger une archive ZIP, qu'il va ensuite décompresser dans le répertoire %TEMP%.
Cette archive contient deux exécutables. Ils ont pour nom appsetup.exe et prun.exe. Dès que le PC est infecté, le malware ajoute des exclusions à Windows Defender à l'aide de commandes Powershell en lançant plusieurs instances du terminal de Microsoft. Dès lors, les deux exécutables téléchargés ne seront pas analysés par la suite de sécurité de Microsoft. Ainsi, les logiciels malveillants installés par MosaicLoader passeront entre les mailles du filet.
A lire aussi : Windows Defender, un bug crée des milliers de fichiers inutiles sur les PC Windows 10
Les possibilités étendues de MosaicLoader une fois installé dans le système lui permettent d'agir en tant que botnet, de propager d'autres malwares et d'étendre ainsi son champ d'action à d'autres PC. Selon les chercheurs de Bitdefender, le meilleur moyen de se prémunir de ce genre de logiciel malveillant reste de ne pas télécharger de logiciels piratés, quelle que soit la source. “Le danger de cette application, c'est qu'elle peut diffuser n'importe quel logiciel malveillant dans le système. Son objectif est de télécharger une liste des logiciels malveillants provenant des sources d'infection contrôlées par des attaquants et de les exécuter.”
Remarquez qu'il est assez facile de vérifier que votre PC n'a pas été infecté par MosaiLoader et qu'il n'a pas ajouté d'exclusions à Windows Defender. Pour cela, ouvrez la Base de registre en tapant simplement Regedit dans le champ de recherche de Windows 10 ou Windows 11. Les exclusions sont visibles dans les clés de Registre suivantes :
- Exclusions de fichiers et de dossiers
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths - Exclusions de type de fichier
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Extensions - Exclusions de processus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes
Source : The Hacker News