LOLBINS : quand les hackers ciblent l’industrie de l’impression 3D

Une campagne de malware visant les utilisateurs de plateformes de partage de modèles 3D comme MakerWorld rappelle que les cybercriminels n’ont plus besoin d’introduire leurs propres outils. Ils utilisent ceux qui sont déjà installés sur les postes de travail. Le créateur de contenu Coben3D a récemment documenté la menace dans une vidéo short sur sa chaîne Youtube.

Un vecteur d’attaque qui exploite la confiance applicative

Le scénario est classique dans sa forme, mais redoutable dans son exécution. L’utilisateur télécharge depuis la plateforme MakerWorld une archive ZIP contenant un modèle 3D et un exécutable nommé file_preparation_tool.exe. Une fois lancé, ce programme ne déploie pas de payload traditionnel. Il exécute un script qui s’appuie sur un fichier .blend, le format natif de Blender, un logiciel de modélisation largement installé dans les environnements de conception et de fabrication en 3D.

Blender étant un outil légitime, le fichier est interprété comme une ressource de confiance. Le malware s’installe sans déclencher d’alerte. Pour un prestataire qui gère le parc informatique d’un bureau d’études, d’un fab lab ou d’un sous-traitant industriel, le constat est direct : un outil métier autorisé devient le vecteur de compromission, et votre stack de sécurité n’a rien vu.

LOLBins : le talon d’Achille de vos systèmes d’exploitation

Cette attaque s’inscrit dans la montée en puissance des LOLBins (Living-off-the-Land Binaries), des programmes légitimes du système d’exploitation détournés par les attaquants pour exécuter du code malveillant, exfiltrer des données ou assurer leur persistance. Le principe : plutôt que de forcer la porte, l’attaquant utilise un badge d’accès déjà en circulation dans le système comme le rappelle Bertrand Gars, Cloud & MSP Business Development Manager chez Bitdefender :

Le mode opératoire Living-off-the-Land (qui pourrait être traduit littéralement par vivre sur de la terre en français) est conçu sur l’idée de réussir à mener une attaque à partir de rien d’autre que ce qui est présent sur la machine. L’attaquant arrive le plus souvent à infecter la machine par l’intermédiaire d’une attaque de phishing ou d’une pièce jointe malveillante. Il se nourrit ensuite des programmes usuels ayant des capacités de lecture, d’écriture et de suppression.

Ainsi rien que sur le système d’exploitation Windows 11, ce ne serait pas moins de 113 LOLBin qui seraient identifiés.

On retrouve régulièrement les programmes suivants :

• PowerShell : présent sur 100% des machines Windows, régulièrement détourné pour exécuter des scripts d’attaque en mémoire.
• Bitsadmin : outil de transfert de fichiers activé par défaut, utilisé par moins de 1% des postes en entreprise mais disponible sur tous.
• Mshta.exe : interpréteur d’applications HTML intégré à Windows, exploité pour exécuter du code VBScript ou JavaScript malveillant en contournant les politiques de sécurité classiques.
• Certutil.exe : utilitaire de gestion des certificats Windows, détourné pour télécharger des fichiers depuis un serveur distant ou décoder des payloads encodés en Base64, le tout en se faisant passer pour une opération d’administration légitime.
• Rundll32.exe : chargeur de bibliothèques DLL natif de Windows, utilisé par les attaquants pour exécuter du code malveillant encapsulé dans des DLL depuis des répertoires temporaires, en échappant aux listes blanches d’applications.

Pour un MSP ou un infogérant, l’enjeu est donc multiple. Chaque poste client non durci représente un point d’entrée. Et lorsqu’un attaquant utilise un outil système pour se déplacer latéralement, ni votre RMM, ni votre antivirus classique ne lèvera de drapeau rouge.

Ce que cette menace change pour les prestataires informatiques et décideurs IT

Si vous gérez des environnements clients hétérogènes comme des bureaux d’études, PME industrielles ou cabinets d’architectes, vous connaissez la réalité : les utilisateurs installent des logiciels métier, téléchargent des fichiers depuis des plateformes communautaires, et travaillent avec des droits souvent trop permissifs. C’est exactement le terreau sur lequel prospèrent les attaques par LOLBins.

Les conséquences pour vos clients sont concrètes :

• Ransomware déployé via des outils système sans détection préalable.
• Exfiltration de données (plans de fabrication, propriété intellectuelle) par des canaux considérés comme légitimes.
• Interruption de production sur des chaînes où le numérique et le physique sont imbriqués.

Et les conséquences pour vous, en tant que prestataire, le sont tout autant : responsabilité engagée, perte de confiance, et un incident que votre outillage standard n’aura pas su prévenir malgré les coûts conséquents d’investissements.

Durcissement dynamique : la réponse opérationnelle

Face à des attaques qui contournent la détection en utilisant des outils de confiance, la posture doit évoluer. La détection seule, même via un EDR performant ne suffit plus lorsque le binaire exploité est un composant natif de Windows ou de MacOS. Car oui les LOLBins ne sont pas spécifique aux OS Windows et sont aussi bien présents sur les équipements de la firme à la pomme que ce soit sur un poste de travail ou un serveur.

Pour endiguer la menace, une réponse existe : celle d’un durcissement proactif du poste de travail et une réduction dynamique de la surface d’attaque (DASR).

C’est précisément l’approche de la technologie PHASR (Proactive Hardening and Attack Surface Reduction) intégré à GravityZone, la plateforme de sécurité unifiée développée par l’éditeur Roumain Bitdefender. Son fonctionnement repose sur trois piliers directement exploitables dans un contexte d’infogérance :

1. Analyse comportementale continue : en s’appuyant sur la télémétrie de l’EDR (GravityZone ou outil tiers), PHASR analyse le comportement de l’utilisateur puis cartographie l’usage réel des applications, des commandes et des privilèges sur chaque poste, client par client.
2. Profils de risque individualisés : chaque machine reçoit une politique de sécurité taillée sur mesure. Un poste de travail d’un comptable et un poste de travail d’un concepteur 3D n’exposent pas les mêmes LOLBins, PHASR le comprends et ajuste le filtrage en conséquence.
3. Restriction autonome des outils inutilisés : Bitsadmin jamais sollicité ? Bloqué. PowerShell utilisé, mais uniquement pour des commandes spécifiques ? Les instructions dangereuses sont neutralisées, les autres restent opérationnelles. Aucun ticket utilisateur, aucune friction sur la productivité.

Selon Bitdefender, cette approche permet de bloquer préventivement jusqu’à 95% des actions légitimes détournées lors d’intrusions. Pour un prestataire IT, cela signifie fermer les chemins d’attaque à l’échelle de l’ensemble du parc client, de manière automatisée et sans intervention manuelle poste par poste.

Quant au coût, PHASR est disponible à partir de quelques euros par mois par poste de travail.

Un changement de paradigme pour l’infogérance

L’affaire MakerWorld est un signal fort. Les attaquants ne cherchent plus à outrepasser les défenses périmétriques, ils entrent par la porte de service, badge en main. Dans ce contexte, le rôle du prestataire informatique évolue : il ne s’agit plus seulement de détecter et de remédier, mais de réduire la surface d’exposition avant l’attaque.

Sur ce, je vous laisse, je vais jeter un oeil à l’ensemble de ces applications natives qui pourraient me causer du tort.

Photo de Jakub Zerdzicki.