Si vous pensiez que l’installation accidentelle d’un logiciel malveillant sur votre PC était une mauvaise chose, attendez de découvrir un logiciel malveillant sans fichier, un intrus furtif qui ne laisse aucune trace sur votre disque de stockage.
Les logiciels malveillants traditionnels sont plus faciles à supprimer une fois détectés, car ils ont des fichiers visibles sur le disque de stockage que l’antivirus peut analyser et éliminer. Les logiciels malveillants sans fichier fonctionnent entièrement à partir de la mémoire du PC (RAM), il est donc beaucoup plus difficile de les détecter.
Dans cet article, je vais vous expliquer tout ce que vous devez savoir sur les logiciels malveillants sans fichier et comment vous en protéger.
Qu’est-ce qu’un logiciel malveillant sans fichier ?
Un logiciel malveillant sans fichier est un morceau de code malveillant qui s’exécute lui-même à partir de la mémoire du système. Il recherche principalement les vulnérabilités des applications légales et les compromet pour s’exécuter. Dans de rares cas, il peut ouvrir ses propres processus malveillants pour exécuter des fonctions.
Étant donné que les antivirus analysent généralement les fichiers/programmes téléchargés et installés, les logiciels malveillants sans fichier sont beaucoup plus difficiles à détecter car ils n’ont pas de fichier associé. Les fonctions malveillantes qu’ils peuvent exécuter sont similaires à celles de la plupart des autres logiciels malveillants ; la principale différence réside dans la manière dont ils résident dans l’ordinateur.
Comment les logiciels malveillants sans fichier infectent-ils l’appareil ?
Comme la plupart des autres types de logiciels malveillants, les logiciels malveillants sans fichier se propagent principalement par le biais de liens malveillants dans les courriers électroniques non sollicités, de sites web malveillants ou d’attaques d’ingénierie sociale. Toutefois, leur exécution diffère puisqu’ils recherchent des vulnérabilités dans les programmes de l’ordinateur ou dans le système d’exploitation lui-même.
Les applications vulnérables les plus courantes sont Powershell, Windows Management Instrumentation (WMI), le navigateur et tous les plugins vulnérables installés. Il tire parti de la vulnérabilité pour injecter du code malveillant dans le programme légitime et exécuter des tâches en fonction de son objectif.
Par exemple, un Powershell infecté peut exécuter des commandes de niveau administrateur pour voler des données ou crypter des données importantes.
Il peut également utiliser le “creusement de processus” pour vider le contenu d’un processus légitime et le remplir ensuite de son code malveillant afin de travailler sous son nom.
PowerGhost est un bon exemple d’attaque de logiciels malveillants sans fichier qui a utilisé WMI et Powershell pour crypter des PC d’entreprise sans être détecté.
Quelles sont les menaces que représentent les logiciels malveillants sans fichier ?
Comme je l’ai dit précédemment, les logiciels malveillants sans fichier peuvent effectuer la plupart des tâches similaires à celles des logiciels malveillants résidant dans le stockage du PC. Tout dépend de l’objectif pour lequel le logiciel malveillant sans fichier a été codé et de la vulnérabilité dont il tire parti.
Les fonctions malveillantes courantes qu’ils peuvent exécuter sont le vol de données, le vol d’informations d’identification, le cryptage de données, la surveillance de l’activité, l’enregistrement des frappes, le crypto-minage, les attaques DDoS et la modification des paramètres de sécurité en vue d’attaques ultérieures.
Pour vous donner une meilleure idée, je vous présente ci-dessous une liste des précédentes attaques de logiciels malveillants sans fichier à grande échelle :
PowerWare: il s’agit d’un type de ransomware qui utilise Powershell pour exécuter des commandes furtives afin de verrouiller des fichiers importants et de faire croire qu’ils sont cryptés. Il demande ensuite un paiement en crypto-monnaie.
PowerSniff: Il se propage en tirant parti des paramètres de sécurité de Microsoft Word pour exécuter une macro envoyée en tant que document. Cette macro fouille le PC et vole des informations d’identification.
TrickBot: Bien qu’il ne s’agisse pas entièrement d’un logiciel malveillant sans fichier, TricktBot chargeait ses modules en mémoire dans l’une de ses versions avancées. L’objectif principal de ce logiciel malveillant était de voler des informations financières.
Netwalker Ransomware: il s’agit d’un autre ransomware qui utilise des tactiques sans fichier, mais son chiffrement est réel. Il remplace les processus Microsoft légitimes par du code malveillant afin de se dissimuler et d’exécuter des commandes.
Comment détecter les logiciels malveillants sans fichier ?
Comme les logiciels malveillants sans fichier sont sournois, il est très difficile de les détecter. Si vous pensez avoir cliqué sur un lien malveillant et que votre PC a été infecté, il y a plusieurs choses que vous pouvez faire pour deviner et prendre des mesures de protection.
Vous trouverez ci-dessous quelques indices courants à rechercher :
Comportement inhabituel du système : Les logiciels malveillants sans fichier peuvent présenter des comportements inhabituels, comme l’ouverture et la fermeture de certaines applications, le gel de l’ordinateur, des pannes ou des redémarrages, etc.
Ralentissement des performances : Vous pouvez remarquer une diminution soudaine des performances globales du système. Cela peut également entraîner des blocages.
Activité inhabituelle du réseau : En plus d’un ralentissement des performances du réseau, vous pourriez remarquer un trafic inhabituel vers un domaine auquel vous n’aviez pas accès. Je recommande toujours GlassWire pour l’analyse du réseau.
Utilisation élevée de l’unité centrale d’un processus : Ouvrez le gestionnaire des tâches et vérifiez si un processus inhabituel utilise trop de ressources du processeur. Un processus compromis utilise généralement une grande partie du processeur, même lorsqu’il n’est pas actif.
Changements dans l’application antivirus : Les logiciels malveillants sans fichier peuvent essayer de désactiver votre logiciel antivirus afin de rendre l’ordinateur vulnérable à d’autres types d’attaques de logiciels malveillants.
En outre, vous devriez également utiliser un antivirus doté de fonctions intégrées de détection de comportement pour repérer les logiciels malveillants sans fichier. Ces applications antivirus peuvent détecter des comportements inhabituels dans les applications et les processus afin de savoir s’ils sont infectés.
À cette fin, Kaspersky Antivirus dispose d’outils de protection contre les logiciels malveillants sans fichier qui ne se contentent pas de détecter les comportements inhabituels, mais qui analysent également les fonctions Windows sensibles telles que WMI ou le Registre Windows à la recherche de codes malveillants. Kaspersky a également une longue expérience dans la découverte d’attaques populaires de logiciels malveillants sans fichier.
Que faire si votre appareil a été infecté ?
Si vous pensez que votre ordinateur a été infecté, il y a de fortes chances qu’il soit déjà trop tard. Si le logiciel malveillant avait l’intention de voler quelque chose, il l’a probablement déjà fait.
Toutefois, votre première ligne de défense consiste à éteindre complètement votre ordinateur et à le redémarrer. La mémoire vive étant une mémoire volatile, elle est complètement effacée lorsque l’ordinateur s’éteint. Cela supprimera automatiquement le logiciel malveillant sans fichier, avec un peu de chance, avant qu’il ne fasse des dégâts.
Malheureusement, la plupart des logiciels malveillants sans fichier disposent de méthodes intégrées pour survivre à un redémarrage, comme le chargement du code dans une entrée du registre. Si possible, essayez de démarrer l’ordinateur en mode sans échec et suivez les méthodes ci-dessous :
#1. Scannez avec un antivirus
Là encore, vous aurez besoin d’une application antivirus dotée d’outils de protection contre les logiciels malveillants sans fichier. Je recommande toujours Kaspersky pour détecter les modifications apportées par les logiciels malveillants sans fichier. Cependant, vous pouvez également essayer Malwarebytes qui dispose d’une détection de comportement basée sur l’IA pour les logiciels malveillants sans fichier.
#2. Utilisez la restauration du système
La restauration du système peut ramener l’ordinateur à un état antérieur dans le temps et réinitialiser toutes les modifications qui y ont été apportées. Étant donné qu’elle est activée par défaut sur tous les PC Windows, elle devrait l’être également sur votre PC, à moins que vous ne l’ayez désactivée vous-même.
Il vous suffit de taper Recovery dans la barre de recherche Windows pour ouvrir System Restore. Vous y verrez tous les points de restauration actuellement enregistrés sur lesquels vous pouvez revenir. Choisissez celui qui précède l’infection par le logiciel malveillant pour corriger tous les changements.
#3. Réinitialisez l’ordinateur
Si vous n’avez pas de point de restauration, la réinitialisation de l’ordinateur peut également réparer tous les dommages tout en conservant les données locales. Cependant, une réinitialisation supprimera tous les programmes installés sur le PC, alors assurez-vous que vous n’avez pas de données importantes sauvegardées dans ces programmes.
Dans les paramètres Windows, allez dans Système > Récupération, puis cliquez sur Réinitialiser le PC. Dans la fenêtre contextuelle, cliquez sur Conserver mes fichiers et suivez les instructions de réinitialisation.
Comment se protéger contre les logiciels malveillants sans fichier ?
La plupart des mesures de protection contre les logiciels malveillants ordinaires protègent également contre les logiciels malveillants sans fichier. Veillez simplement à installer un antivirus doté d’une fonction de détection des comportements et à ne pas télécharger ou cliquer sur des contenus malveillants.
Toutefois, certaines mesures de protection sont plus importantes pour la protection contre les logiciels malveillants sans fichier. Je les énumère ci-dessous :
Maintenez le système d’exploitation et les applications à jour
Les logiciels malveillants sans fichier dépendent fortement des failles de sécurité des applications et du système d’exploitation. Vous devez vous assurer que votre système d’exploitation dispose des dernières mises à jour de sécurité et que toutes les applications sont à jour. Nombre de ces mises à jour contiennent des correctifs pour les vulnérabilités que les logiciels malveillants sans fichier peuvent exploiter.
Soyez prudent avec les extensions de navigateur
Les logiciels malveillants sans fichier peuvent également infecter des extensions de navigateur présentant des vulnérabilités. Veillez à ne télécharger que des extensions de navigateur fiables et réputées et à les maintenir à jour. En cas d’infection, il est recommandé de réinstaller les extensions pour s’assurer qu’elles ne sont pas en cause.
Surveillez le réseau
Presque tous les logiciels malveillants sans fichier établissent des connexions réseau avec leurs propres serveurs pour effectuer leur travail. Un outil comme GlassWire peut non seulement vous aider à repérer les connexions suspectes, mais aussi les bloquer automatiquement, grâce au pare-feu intégré. Je vous recommande de configurer des notifications dans cet outil afin de toujours recevoir un avis lorsqu’une connexion suspecte est détectée.
Renforcer la sécurité du contrôle des comptes d’utilisateurs (UAC)
Vous pouvez configurer l’UAC de Windows pour qu’il vous avertisse systématiquement lorsqu’une modification est apportée au système par vous ou par une application. Cela peut rendre les choses un peu ennuyeuses en raison de la notification à chaque changement, mais cela peut grandement améliorer la sécurité contre les logiciels malveillants cachés tels que les logiciels malveillants sans fichier.
Recherchez UAC dans le moteur de recherche de Windows et cliquez sur Modifier les paramètres du contrôle de compte d’utilisateur. Définissez la barre de sécurité en haut de l’écran.
Appliquer une solution de sécurité des points finaux
Pour les entreprises, une solution de sécurité des points finaux peut protéger tous les PC d’un réseau en centralisant la sécurité. Même si un appareil est infecté, les autres appareils du réseau restent sécurisés et la solution de sécurité peut aider à réparer l’appareil infecté. Les mises à jour sont également effectuées en temps réel, de sorte que les vulnérabilités sont immédiatement corrigées.
CrowdStrike est une bonne solution qui offre une protection basée sur l’IA contre les cyberattaques. Elle dispose également d’une fonction de scanner de mémoire dédiée pour une protection contre les logiciels malveillants sans fichier.
Réflexions finales 🖥️🦠
Les logiciels malveillants sans fichier font en effet partie des attaques de logiciels malveillants les plus astucieuses. Parfois, les pirates les utilisent même dans le cadre de leur grande attaque pour obtenir un accès initial ou affaiblir le système. Honnêtement, la plupart de ces attaques peuvent être facilement évitées si nous gardons notre curiosité sous contrôle et ne cliquons pas sur ce dont nous doutons.
Ensuite, vous pouvez également lire comment analyser et supprimer les logiciels malveillants des téléphones Android et iOS.