Qu’est-ce qu’un logiciel malveillant sans fichier ou fileless malware ?

Les logiciels malveillants sans fichier, ou fileless malware, représentent une nouvelle génération de menaces cybernétiques qui diffèrent radicalement des malwares traditionnels. Contrairement aux logiciels malveillants classiques, qui reposent sur des fichiers exécutables ou des programmes stockés sur le disque dur d’un appareil, les fileless malwares n’utilisent aucun fichier traditionnel pour infecter et compromettre un système. Leur nature furtive et leur capacité à exploiter les faiblesses des systèmes en mémoire les rendent particulièrement difficiles à détecter et à éliminer.

Quelles sont les caractéristiques principales des fileless malwares ?

Les logiciels malveillants sans fichier, ou fileless malware, constituent une catégorie de logiciels malveillants. Ils possèdent à ce titre plusieurs caractéristiques distinctives qui les rendent particulièrement insidieux et difficiles à détecter et à éliminer. Voici leurs principales caractéristiques :

• Présence dans la mémoire vive : contrairement aux malwares traditionnels, les fileless malwares n’écrivent pas de fichiers sur le disque dur mais résident dans la mémoire vive (RAM). Par conséquent, ils sont effacés lors du redémarrage du système mais ils peuvent le réinfecter via des mécanismes de persistance.
• Utilisation de processus légitimes : ils exploitent des outils et des processus légitimes du système d’exploitation, tels que PowerShell ou Windows Management Instrumentation (WMI) pour exécuter des actions malveillantes. Ainsi, ils peuvent contourner de nombreuses solutions de sécurité traditionnelles qui surveillent les fichiers et les applications non autorisées.
• Persistance sans fichiers : ils peuvent modifier le registre Windows pour exécuter des scripts malveillants lors du démarrage du système ou lors de certaines actions de l’utilisateur.
• Modification de leur comportement : ils peuvent s’adapter à leur environnement pour éviter de se faire détecter. Par exemple, ils peuvent détecter s’ils sont exécutés dans un environnement de test (sandbox) et modifier leur comportement pour éviter la détection.
• Invisibilité : les fileless malwares restent souvent invisibles aux outils de sécurité traditionnels.

Comment l’infection par les fileless malwares se fait ?

Les infections par fileless malware se produisent généralement par le biais de techniques sophistiquées qui exploitent des vulnérabilités et des erreurs humaines.

Voici les principales méthodes par lesquelles les utilisateurs peuvent être infectés par un fileless malware :

• Le phishing/smishing :
  • Emails/SMS : les cybercriminels envoient des emails/SMS contenant des liens ou des pièces jointes malveillantes. Lorsque l’utilisateur clique sur le lien ou ouvre la pièce jointe, un script malveillant est exécuté, souvent en utilisant PowerShell ou un autre outil légitime du système.
  • Liens malveillants : les utilisateurs peuvent être incités à cliquer sur des liens malveillants dans des messages de phishing, sur des réseaux sociaux, ou dans des messages instantanés. Ces liens peuvent rediriger vers des sites web qui exécutent des scripts malveillants.
• L’exploitation de vulnérabilités :
  • Vulnérabilités des navigateurs web : les fileless malwares peuvent exploiter des failles de sécurité dans les navigateurs web pour exécuter du code malveillant directement en mémoire lorsque l’utilisateur visite un site web compromis ou malveillant.
  • Vulnérabilités de logiciels : les malwares peuvent tirer parti de vulnérabilités non corrigées dans les applications couramment utilisées, telles que les lecteurs PDF, les suites bureautiques, ou les logiciels de messagerie.
• Scripts et macros malveillants :
  • Documents malveillants : les attaquants peuvent envoyer des documents Office (Word, Excel) contenant des macros malveillantes. Si les macros sont activées par l’utilisateur, elles peuvent exécuter du code malveillant en mémoire.
  • Scripts web : les sites web compromis peuvent héberger des scripts JavaScript ou VBScript qui exécutent du code malveillant lorsque la page est chargée par le navigateur de l’utilisateur.
• Utilisation de logiciels et outils légitimes :
  • PowerShell : les fileless malwares utilisent souvent PowerShell, un outil de ligne de commande intégré à Windows, pour exécuter des commandes et des scripts malveillants en mémoire.
  • WMI (Windows Management Instrumentation) : il peut être utilisé pour exécuter des commandes malveillantes en mémoire, sans écrire de fichiers sur le disque.
• Téléchargements drive-by :
  • Sites web compromis : les utilisateurs peuvent être infectés simplement en visitant un site web compromis. Ce type d’attaque, appelé téléchargement drive-by, exploite des vulnérabilités dans le navigateur ou les plugins pour exécuter du code malveillant en mémoire.
• Infection par réseau :
  • Propagation : les fileless malwares peuvent se propager dans un réseau en exploitant des failles de sécurité dans les protocoles réseau ou les systèmes d’exploitation (Windows, macOS, Linux, etc…).

Quels sont les buts des fileless malwares ?

Les fileless malwares ont plusieurs objectifs, souvent liés à la furtivité de leur fonctionnement et à leur capacité à contourner les défenses traditionnelles des systèmes.

Voici quelques-uns des principaux buts poursuivis par les fileless malwares :

• Vol de données
• Modification de données
• Destruction de données
• Cryptage de données
• Surveillance des activités
• Téléchargement de logiciels malveillants
• Extorsion de fonds

Comment détecter un fileless malware ?

La détection des fileless malwares est particulièrement difficile en raison de leur nature furtive et de leur capacité à opérer en mémoire sans laisser de traces sur le disque dur.

Cependant, plusieurs techniques et outils avancés peuvent aider à identifier ces menaces. Voici quelques-unes des méthodes les plus efficaces pour les détecter :

• Utilisation de solutions de sécurité avancées : on peut citer par exemple les outils EDR (Endpoint Detection and Response) et les solutions XDR (Extended Detection and Response) .
• Analyse des logs et des événements.
• Inspection de la mémoire : des outils comme Volatility ou Redline permettent d’examiner l’état actuel de la mémoire vive pour identifier des processus ou des activités suspectes.
• Utilisation d’outils spécifiques : on peut mentionner notamment Sysmon (System Monitor) et Autoruns.
• Utilisation d’une sandbox.

Que faire en cas d’infection par un fileless malware ?

En cas d’attaque par un fileless malware, il est crucial d’agir rapidement et méthodiquement pour minimiser les dommages et éradiquer la menace.

Cela dit, l’éradication d’un tel logiciel malveillant nécessite des compétences informatiques avancées. Par conséquent, on ne mentionnera ici que les gestes de base accessibles à tout le monde :

• Déconnecter l’équipement infecté du réseau informatique ou d’Internet.
• Faire appel à un informaticien professionnel.

Comment se protéger contre un fileless malware ?

La protection contre les fileless malwares nécessite une approche multi-couches intégrant des mesures préventives, des outils de surveillance avancés, et des pratiques de sécurité robustes. On se limitera ici à mentionner les gestes élémentaires pour se prémunir contre un tel malware :

• Maintenir le système d’exploitation et les logiciels à jour.
• Sensibiliser les utilisateurs : former les utilisateurs à reconnaître les emails de phishing et à éviter d’activer des macros provenant de sources non vérifiées.
• Surveillance des comportements anormaux de l’équipement.