Des hackers rendent leur malware invisible grâce à un VPN

Un groupe de pirate chinois a réussi à diffuser un malware sans qu'il soit détecté par les logiciels de sécurité en le signant avec le certificat d'un VPN. Cela le rend invisible pour les anti-virus et assimilés.

Malware invisible avec certificat VPN
Crédits : 123RF

Les hackers et les logiciels de sécurité jouent constamment au chat et à la souris. Les premiers veulent passer entre les mailles du filet, et les derniers veulent les coincer avant qu'ils n'occasionnent des dégâts. Sur les smartphones Android, ça passe parfois par l'utilisation d'une astuce toute simple. Sur ordinateur, un groupe de pirates chinois a eu une idée originale pour rendre leur malware invisible. Ils se sont servis du certificat (légitime) d'un VPN.

Un certificat électronique est une sorte de signature officielle pour s'assurer de l’identité de la personne ou entreprise derrière un document ou, ici, un logiciel. Il comprend diverses informations comme le nom de l'entité, une date de validité, le système de chiffrement associé… Si un programme est doté d'un certificat valide, les anti-virus n'ont aucune raison de le suspecter d'être infecté et ne réagissent donc pas après analyse. C'est ce qu'il s'est passé avec ce malware.

Un malware signé avec le certificat d'un VPN devient indétectable par les anti-virus

“Signées” avec le certificat du VPN Ivacy, produit par l'entreprise PMG PTE LTD de Singapour, des archives en apparence légitimes ont pu embarquer des fichiers infectés sans être repérées. On trouve des noms connus comme Adobe Creative Cloud, MacAfee VirusScan ou Microsoft Edge. En croyant installer le logiciel associé, la victime ouvre en réalité la porte au malware sur sa machine.

Lire aussi – Attention, ce ransomware se déguise en solution de cybersécurité pour voler toutes vos données

Les hackers chinois visaient visiblement l'Asie du Sud-Est, et plus particulièrement le secteur des jeux de hasard. Le malware était prévu pour ne pas se déclencher en France, Allemagne, Russie, Inde, Canada, Royaume-Uni et États-Unis. Le but était de réduire les chances de détection, mais le système a été mal implanté. Selon les équipes à l'origine de la découverte, les certificats de signature du VPN ont sûrement été volés à la société concernée. “Une technique habituelle” pour les pirates de l'Empire du Milieu selon elles.

Source : Bleeping Computer

Voir les commentaires
Ailleurs sur le web