Ce malware s’appuie sur WSL pour récupérer les cookies d’authentification dans les navigateurs

Windows Subsystem for Linux semble attirer les pirates informatiques comme le prouve ce nouveau logiciel malveillant qui exploite WSL ! Il est capable de voler vos mots de passe dans Chrome et Opera, mais également les cookies d'authentification stockés sur votre machine.

Pour rappel, Windows Subsystem for Linux (WSL) est une fonctionnalité de Windows 10, Windows 11 et Windows Server 2022 qui permet de prendre en charge nativement Linux sur Windows. Ainsi, il est possible de faire tourner des distributions Linux, mais également d'exécuter des applications avec une interface graphique nativement sous Windows via WSLg.

S'appuyer sur WSL pour exécuter un logiciel malveillant sur Windows, ce n'est pas nouveau. Il suffit de remonter en septembre dernier puisque je vous parlais déjà d'un malware qui s'appuyait sur WSL. D'ailleurs, depuis l'automne dernier, les chercheurs en sécurité de chez Black Lotus Labs auraient détecté plus de 100 échantillons de malwares basés sur WSL !

Ces malwares bénéficient de différentes fonctionnalités, comme la possibilité d'agir comme un logiciel d'accès à distance ou de mettre en place un reverse shell sur l'hôte infecté. Récemment, les chercheurs de chez Black Lotus Labs ont fait la découverte d'un logiciel malveillant qui s'appuie sur un outil Python nommé "RAT-via-Telegram-Bot".

En regardant la description de cet outil, on constate qu'il permet d'envoyer des ordres à la machine infectée par l'intermédiaire de Telegram, et qu'il y a des fonctions pour voler les cookies d'authentification et les mots de passe à partir de Google Chrome et Opera, d'exécuter des commandes, de télécharger des fichiers, ou encore de localiser l'appareil. D'après les chercheurs, ce malware s'appuie sur un jeton d'un bot valide et un ID de chat, donc il est bien actif.

D'autres informations sont également récupérées, telles que le nom d'utilisateur, la version du système, l'adresse IP, mais aussi des copies d'écran, probablement dans le but de bien identifier l'environnement et d'exécuter une autre charge utile dans un second temps.

Au moment où les chercheurs ont fait des analyses sur cet échantillon sur le site VirusTotal, il n'y a que deux antivirus qui l'ont détecté sur un total de 57. Ce malware est particulièrement efficace pour de l'espionnage étant donné qu'il est en mesure de récupérer des informations sur la machine infectée.

Note : vous pouvez retrouver sur le site une série de 10 tutoriels au sujet de l'utilisation de WSL sous Windows.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 4264 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.