Fire Chili Rootkit

L'infâme groupe chinois APT (Advanced Persistent Threat) Deep Panda a été surpris en train d'utiliser un nouvel ajout menaçant à son arsenal. Nommé Fire Chili, le malware appartient à la catégorie des rootkits et vise à infecter les systèmes Windows. Selon le rapport publié par les analystes de la cybersécurité, ce rootkit est livré aux serveurs VMware Horizon via l'exploit Log4Shell et est capable d'affecter les versions de Windows jusqu'à Windows 10 Creators Update, qui a été publié en avril 2017.

Les rootkits sont des types de logiciels malveillants extrêmement menaçants, car ils peuvent pénétrer profondément dans les systèmes compromis et effectuer des actions intrusives au niveau le plus bas, contournant ainsi de nombreux contrôles de sécurité et mesures anti-malware. Pour éviter d'être détecté par des outils antivirus lors de l'infection initiale, Fire Chili est équipé de certificats numériques valides appartenant à Frotburn Studios (une société de développement de jeux) ou à Comodo (un développeur de logiciels de sécurité). Les chercheurs pensent que les certificats ont été détournés de leurs propriétaires prévus.

Lorsqu'il est lancé, Fire Chili effectue une série de tests système de base pour tenter de détecter des signes de virtualisation ou d'environnements de bac à sable. La menace s'assure également que les structures et les objets du noyau ciblés sont présents dans le système. L'objectif principal du logiciel malveillant est de cacher les autres actions intrusives des pirates. Fire Chili peut masquer les opérations de fichiers, les processus, les ajouts au système de registre et les connexions réseau illégitimes pour qu'ils ne soient pas remarqués par les utilisateurs ou les outils logiciels de sécurité. Il archive cela en utilisant des IOCTL (appels système de contrôle d'entrée/sortie) transportant les artefacts corrompus qui peuvent être configurés dynamiquement par les acteurs de la menace.