L’acteur malveillant utilise le système de signature de confiance de Microsoft pour diffuser son malware OysterLoader via de fausses publicités de recherche.
Le groupe de ransomwares Rhysida, connu pour cibler les entreprises, a commencé à recourir à des campagnes de publicité malveillante pour diffuser ses logiciels malveillants. Dans ses récentes campagnes, l’acteur malveillant a usurpé l’identité de fausses pages de téléchargement imitant des logiciels légitimes tels que Microsoft Teams, PuTTY et Zoom.
Le groupe Rhysida déploie une technique de publicité malveillante pour attaquer. Le groupe achète des publicités sur le moteur de recherche Bing pour placer les liens vers des pages de destination malveillantes et convaincantes permettant de télécharger des logiciels directement devant les victimes potentielles.
La campagne publicitaire malveillante en cours a diffusé un malware appelé OysterLoader. Un outil d’accès initial (IAT), anciennement connu sous le nom de Broomstick et CleanUpLoader, est utilisé pour prendre pied sur un appareil afin qu’une porte dérobée persistante de deuxième étape puisse être lancée sur le système et établir un accès à long terme, a noté la société de cybersécurité Expel.
Exploiter la confiance inhérente
Alors que la campagne commence par la publicité malveillante, le ransomware Rhysida a déployé deux stratégies pour échapper à la détection ou la rendre difficile à détecter.
Tout d’abord, le groupe conditionne le malware. Cette technique est utilisée pour compresser, chiffrer ou obscurcir la fonction du logiciel, ce qui entraîne un faible taux de détection statique lorsque le logiciel malveillant est détecté pour la première fois.
Deuxièmement, le groupe Rhysida Ransomware utilise des certificats de signature de code en accordant à ses propres fichiers malveillants un niveau de confiance plus élevé pour paraître légitimes. Pour cela, le groupe s’appuie sur la signature de confiance de Microsoft.
« Les certificats Microsoft Trusted Signing sont émis avec une période de validité de 72 heures. Après cette période, les certificats expirent et doivent être renouvelés. Cette courte période rend le processus standard d’achat et de revente de certificats irréalisable. Cependant, le groupe de ransomware Rhysida – ou l’un de leurs fournisseurs – a identifié un moyen d’abuser du système Trusted Signing de Microsoft, leur permettant de signer des fichiers à grande échelle », a noté Expel dans ses recherches.
« Les binaires signés bénéficient d’une confiance automatique dans Windows et dans de nombreux outils de sécurité, ils passent donc souvent sans examen minutieux », a expliqué Amit Jaju, partenaire mondial/directeur général principal – Inde chez Ankura Consulting. « La détection en temps réel est difficile car les contrôles de sécurité considèrent traditionnellement les fichiers signés comme sûrs. Ils ont même abusé du service Trusted Signing de Microsoft, ce qui a conduit à la révocation de plus de 200 certificats. Au moment où les défenseurs s’en rendent compte et que les révocations se propagent, les attaquants sont déjà passés à de nouveaux certificats. Cet intervalle de temps est leur avantage. »
Selon la dernière analyse d’Expel, Rhysida a considérablement augmenté son utilisation des certificats de signature de code. De seulement sept certificats lors de sa première campagne de publicité malveillante Microsoft Teams de mai à septembre 2024, la deuxième campagne, qui débutera en juin 2025, compte déjà plus de 40 certificats. L’augmentation spectaculaire des dossiers et des certificats indique un rythme opérationnel et un investissement en ressources plus élevés, a déclaré l’entreprise.
De plus, avec OysterLoader, l’acteur malveillant a utilisé le malware Latrodectus pour obtenir un premier accès aux réseaux.
Identifier les signaux médico-légaux
Les campagnes qui exploitent les certificats de confiance sapent le modèle de confiance sur lequel s’appuient les entreprises. Les logiciels malveillants signés contournent les listes d’autorisations d’applications, les avertissements du navigateur, les vérifications du système d’exploitation et les hypothèses antivirus concernant le code signé. Lorsque le fichier se fait passer pour Teams ou PuTTY, les salariés n’hésitent pas à le télécharger tant il paraît normal.
« Une fois à l’intérieur, le malware s’exécute avec moins de restrictions, s’empare de la persistance et entraîne des charges utiles plus lourdes. Cela complique également les enquêtes car les signaux d’alarme habituels sont absents. Et comme les attaquants s’appuient sur les écosystèmes logiciels quotidiens, l’implantation d’un point de terminaison peut se transformer en un mouvement latéral et, finalement, en un ransomware rapide », a ajouté Jaju.
Les experts estiment que les défenseurs doivent changer d’état d’esprit. « Nous ne devons pas présumer que les fichiers signés sont sûrs », a déclaré Devroop Dhar, MD et co-fondateur de Primus Partners. « Commencez par vérifier d’où vient le programme d’installation, s’agit-il d’un site de fournisseur ou d’un lien de recherche fragmentaire. Ces petits détails racontent souvent toute l’histoire. Des noms d’éditeur nouveaux ou incompatibles, ou des certificats émis inhabituellement récemment, devraient éveiller les soupçons. Sur les points finaux, recherchez les chaînes de processus rundll32, PowerShell ou msiexec – pas des noms de logiciels malveillants spécifiques, mais des modèles de comportement récurrents. «
Jaju a ajouté que la défense dépend désormais de l’analyse comportementale et de la validation proactive. « Utilisez l’EDR qui se concentre sur le comportement plutôt que sur les balises de confiance. Épinglez les certificats pour les applications critiques afin que seuls les certificats approuvés connus puissent s’exécuter. Introduisez des flux de renseignements sur les menaces dans les pipelines de détection afin que les révocations et les IOC déclenchent une action immédiatement. Ajoutez des contrôles DNS et un filtrage pour bloquer les faux chemins de téléchargement. «
Dhar a souligné que les RSSI doivent traiter les logiciels malveillants signés et les faux installateurs comme faisant partie du paysage actuel. « L’accent devrait être mis sur la vérification : d’où vient le fichier, qui l’a signé et ce qu’il a fait juste après son lancement. » Les deux experts conviennent que le problème s’étend au-delà des organisations individuelles. L’abus du service de signature de confiance de Microsoft révèle des failles systémiques qui nécessitent un contrôle plus strict des certificats et une surveillance plus stricte à l’échelle du secteur.
