PlugX, le vieux malware, infecte toujours des millions de PC

par | Mai 12, 2024 | Tech | 0 commentaires

Derniers Articles

Statistiques d

Le malware PlugX a fait son apparition en 2008 pour la première fois, au cours d’une offensive chinoise visant des utilisateurs japonais. Au fil des années, ce logiciel malveillant s’est enrichi de compétences caractéristiques des vers informatiques, lui permettant de se disséminer vers les appareils de stockage, les clés USB et les lecteurs flash.

Le malware PlugX, un logiciel malveillant vieux de près de deux décennies, continue de faire parler de lui, en mal bien sûr. Sekoia, une entreprise française spécialisée dans la cybersécurité, a dévoilé dans un récent billet de blog qu’elle avait acquis en septembre 2023 une adresse IP liée au serveur de commande et de contrôle d’une variante de ce malware. Plus de 2,5 millions d’adresses IP uniques sont encore connectées à ce serveur, et entre 90 000 et 100 000 adresses IP publiques uniques restent infectées et envoient quotidiennement des requêtes PlugX distinctes, d’après Sekoia. Le malware PlugX est encore loin d’être éliminé, prévient la société.

Il a été repéré pour la première fois par Trend Micro en 2008, quand il a été utilisé lors d’une campagne chinoise visant des utilisateurs associés au gouvernement et une entreprise particulière au Japon. Après avoir été utilisé contre des victimes en Asie jusqu’en 2012, le malware a évolué et a élargi ses cibles. Connue aussi sous le nom de Korplug ou Sogu, PlugX est un cheval de Troie d’accès à distance (Remote Access Trojan, RAT) qui donne à un attaquant la possibilité de contrôler et de surveiller à distance une machine infectée. En 2021, Check Point a révélé qu’un groupe APT chinois avait utilisé une variante de PlugX, appelée SmugX, contre des ambassades européennes en utilisant principalement la technique de HTML Smuggling. Plus récemment, en mars 2023, Sophos a découvert une variante de PlugX créée en 2020 par les opérateurs derrière l’intrusion Mustang Panda. Cette variante a des capacités de ver pour infecter des dispositifs de stockage (clés USB, lecteurs flash…) et peut contourner les dispositifs d’isolation (air gap), infecter des réseaux non connectés à Internet et constituer des botnets.

A découvrir :  "Grégoire Ferreri nommé directeur général de SAS France"

PlugX, un malware coriace pour longtemps encore ?

« En général, PlugX est activé par un schéma de chargement latéral de DLL, où un exécutable légitime récupère une DLL malveillante – ou patchée – qui va alors charger et exécuter en mémoire le composant principal de PlugX qui se trouve dans un blob binaire chiffré sur le système de fichiers », explique Sekoia. « Ce composant infecte les clés USB connectées en ajoutant un fichier de raccourci Windows portant le nom de la clé USB infectée et une triade de chargement latéral de DLL (exécutable légitime, DLL malveillante et blob binaire) dans le dossier caché RECYCLER.BIN du lecteur. Le contenu légitime des périphériques USB est déplacé dans un nouveau répertoire dont le nom est l’espace insécable (code ascii hexadécimal : 0xA0) ».

Alors comment se débarrasser de PlugX ? Le problème est complexe, car PlugX camoufle ses fichiers stockés sur la clé USB, et ils ne sont révélés à l’utilisateur que lors de l’exécution du malware. Si un logiciel de sécurité supprime l’un des fichiers associés à PlugX sur la clé USB, l’utilisateur perdra alors l’accès à ses propres fichiers. « Nous encourageons fortement les éditeurs de logiciels de sécurité à créer des règles de détection efficaces contre cette menace au niveau des postes de travail pour empêcher la réutilisation de ce réseau de botnet à l’avenir », conseille Sekoia. Un message à prendre en compte ?

alain-barru
Mathilde Précault

Auteur

Mathilde Précault est une figure passionnée et reconnue dans le monde de la formation en technologies et compétences numériques pour les entreprises. Dotée d'une expertise approfondie en matière de nouvelles technologies, Mathilde a consacré sa carrière à aider les professionnels à naviguer et à exceller dans le paysage numérique en constante évolution. Sa pédagogie unique, alliant théorie et pratique, permet aux apprenants de tous niveaux d'acquérir des compétences essentielles, de la maîtrise des outils de base à l'exploration des dernières innovations technologiques. En tant qu'autrice pour Techdécouverte.com, Mathilde partage ses connaissances et son enthousiasme pour la technologie, offrant aux lecteurs des perspectives enrichissantes et des conseils pratiques pour rester à la pointe de l'ère numérique

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *