La société de sécurité ZeroFox avertit du danger représenté par le botnet Kraken. Il a une manière spécifique de s’implanter dans les machines Windows, en contournant Defender, en dépit d’une importante mise à jour de sécurité plus tôt dans le mois.
Depuis peu en effet, Defender bloque l’accès à tout programme cherchant à accéder aux dossiers exclus sans les droits administrateurs. Même chose s’il cherche à accéder à la clé de registre renseignant la liste et les emplacements des exclusions.
Ce n’est toutefois pas assez pour Kraken, qui s’enregistre lui-même comme une exclusion. Il commence par s’installer dans %AppData%\Microsoft. Après quoi, il exécute deux commandes, l’une pour ajouter ce même dossier aux exclusions, l’autre pour le cacher (attrib +S +H).
Selon ZeroFox, Kraken se consacre au vol de données. Une mise à jour récente du malware l’a cependant fait passer au stade supérieur, en le rendant capable d’aspirer les portefeuilles de cryptomonnaies.
Zcash, Armory, bytecoin, Electrum, Ethereum, Exodus, Guarda ou encore atomic sont visées. À chaque fois, le dossier correspondant dans %AppData% est vérifié. Après quoi les informations sont envoyées vers un serveur.
Les conseils de ZeroFox sont toujours les mêmes dans ce genre de contexte : s’assurer que les protections sont à jour, activer l’authentification à deux facteurs partout où c’est possible, maintenir une routine de sauvegarde des données, éviter d’ouvrir des pièces-jointes non sollicitées…
Commentaires (3)
#1
J’ai du mal à me faire une idée de Defender de Microsoft. Autant il n’est peut-être pas plus mauvais que les autres, autant il est certainement une cible prioritaire (donc mécaniquement plus vulnérable).
Est-ce que quelqu’un aurait une bonne étude sur le sujet comparativement à d’autres antivirus gratuits ?
#2
A priori, je pense que le chemin d’installation est incorrect.
Le chemin exact serait plutôt %AppData%\Local\Microsoft
#3