Kaspersky met en évidence une souche malveillante qui se cache dans la mémoire des systèmes et exploite des applications de confiance pour dérober des données.
Une nouvelle espèce de logiciels malveillants, mise en évidence par Kaspersky Lab, ressemble bien à un cauchemar pour administrateurs système et responsables informatiques. Il s’agit d’une forme de malware utilisant des logiciels légitimes (comme l’outil de tests de pénétration Meterpreter) pour infecter un système, avant de détourner des services Windows couramment utilisés pour assurer son implémentation et son fonctionnement. Une fois le malware en cours d’exécution à l’intérieur de Windows, il efface toute trace de son existence et réside dans la mémoire du serveur. Le temps d’exfiltrer des informations qu’il convoite avant de s’effacer de lui-même.
Parce que ces nouveaux malwares, que Kaspersky a baptisés MEM:Trojan.win32.cometer et MEM:Trojan.win32.metasploit, résident en mémoire, ils ne peuvent pas être détectés par des antivirus standards, qui analysent le disque dur d’un ordinateur.
En outre, le malware se cache en réalité à l’intérieur d’autres applications, ce qui le rend pratiquement invisible également des outils utilisant des techniques de listes blanches, comme c’est le cas de nombreux pare-feu.
Source :http://www.silicon.fr/anatomie-malware-super-furtif-cache-memoire-serveurs-168630.html