Une nouvelle menace informatique a été détectée, prenant l’apparence du processus légitime de Microsoft Edge, msedge.exe. Identifié par Stephan Berge, responsable des investigations chez InfoGuard AG, ce malware se dissimule dans le dossier C:\Program Files\Microsoft\MicrosoftEdge\ et exploite MeshCentral, un outil open-source de gestion à distance, souvent détourné à des fins malveillantes. Cette découverte met en lumière la sophistication croissante des cyberattaques visant à contourner les défenses traditionnelles.
Le malware se présente comme un service légitime de Microsoft Edge, mais un argument de ligne de commande, --meshServiceName="MicrosoftEdge", révèle son lien avec MeshCentral. Ce dernier déploie un agent MeshCentral modifié qui permet aux attaquants d’exécuter des commandes à distance, de transférer des fichiers, de surveiller en temps réel et de prendre le contrôle total des systèmes infectés via une interface web. Cette capacité d’opérer sans interaction de l’utilisateur rend la menace particulièrement insidieuse.
Pour assurer sa persistance, le malware modifie les clés du registre Windows, lui permettant de survivre à un redémarrage, y compris en mode sans échec. Chaque instance génère un MeshAgent unique, ce qui complique sa détection par les antivirus basés sur les signatures. Les communications entre le malware et ses serveurs utilisent les ports HTTP/HTTPS standards (80/443), rendant le trafic difficile à distinguer des activités légitimes, surtout dans les entreprises utilisant MeshCentral à des fins internes.
Stephan Berge a repéré ce malware sur le réseau d’un client, où une analyse approfondie a révélé plusieurs installations de cette porte dérobée. Il insiste sur l’importance d’une surveillance réseau globale et de scans complets, sans exclure les dossiers système comme C:\Program Files\Microsoft. Des sources sur le web soulignent que ce type de menace exploite la confiance accordée aux logiciels légitimes, renforçant la nécessité de solutions de sécurité multicouches.
Les entreprises sont encouragées à renforcer leur sécurité en déployant des agents d’investigation sur l’ensemble de leurs postes et serveurs, tout en sensibilisant les utilisateurs aux risques liés aux fichiers ou liens suspects. Cette nouvelle vague de malwares camouflés souligne l’importance de la vigilance et d’une analyse rigoureuse des systèmes face aux tactiques toujours plus sophistiquées des cybercriminels.
