.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Sophos Endpoint est conçu dès le départ pour bloquer automatiquement les exploits, les ransomwares et les techniques d'attaque par défaut, sans aucun paramétrage manuel.
Ce cas de menace illustre comment les capacités anti-exploitation uniques incluses dans Sophos Endpoint ont bloqué une attaque de la supply chain via JDownloader, un gestionnaire de téléchargement gratuit basé sur Java d'AppWork GmbH qui automatise les téléchargements en masse à partir d'hébergeurs de fichiers et de sites vidéo en un clic seulement.
Comment l’attaque s’est-elle déroulée ?
Il s'agissait d'une attaque par point d'eau (watering hole) : entre le 6 et le 7 mai 2026 des cybercriminels ont compromis le site web officiel de JDownloader, les installateurs Windows de la page de téléchargement alternative ont été discrètement remplacés par des fichiers binaires non signés et contenant des malwares.
Le fichier binaire infecté par un cheval de Troie contenait le véritable JDownloader en même temps que le code malveillant, de sorte que l'application s'installait et fonctionnait normalement et la victime, sans se méfier, n'avait aucune indication visible qu'elle avait été compromise. Les témoignages des victimes indiquent que le malware désactive Microsoft Defender dans le cadre de sa chaîne d'exécution.
La substitution est restée non détectée pendant plus d'une journée avant qu'un utilisateur de Reddit ne repère les avertissements de SmartScreen et qu'un développeur de JDownloader ne confirme la faille et ne mette le site hors ligne. Jusqu'alors, chaque téléchargement contenait un malware caché.
Les causes premières ? Une faille non corrigée de JDownloader permettait aux attaquants de modifier les listes de contrôle d'accès du site sans authentification. Une fois à l'intérieur, ils ont simplement redirigé les liens de téléchargement vers leurs propres fichiers malveillants.
Sophos Endpoint en action
Lors d'une attaque de la supply chain, le défi n'est pas de savoir si les attaquants atteindront vos systèmes endpoint, mais plutôt de savoir si vos défenses pourront stopper des techniques qu'ils n'ont jamais vues, sans paramétrage par application, listes d'exclusion ou spécialiste de la sécurité prêt à intervenir.
Lors de cette attaque, Sophos Endpoint a bloqué le programme d'installation infecté par un cheval de Troie grâce à Kernel32Trap, l'une des plus de 60 mesures de mitigation des exploits déployées automatiquement dès le départ. Aucun lookup Cloud, aucune signature, aucune inférence IA, aucune connaissance préalable de la campagne n'étaient requis.
Une approche unique qui renverse la situation pour les attaquants
Kernel32Trap cible MITRE ATT&CK T1027.007 (Dynamic API Resolution), un modèle quasi universel dans de nombreux shellcodes où la charge virale localise les fonctions système dont elle a besoin au moment de l'exécution, plutôt que de les déclarer dans la table d'importation du binaire où les scanners antivirus les verraient.
MITRE lui-même classe cette technique comme une technique qui « ne peut pas être facilement mitigée par des contrôles préventifs puisqu'elle est basée sur l'abus des fonctionnalités du système ».
Chez Sophos, notre approche consiste à inverser l'hypothèse sur laquelle repose la technique : tout comme les attaquants placent des malwares là où les utilisateurs s'attendent à trouver des fichiers légitimes, nous plaçons un piège à l'endroit précis où le malware s'attend à trouver un composant système légitime. Dès que le malware tente d'appeler ce qu'il vient de « résoudre », le contrôle de l'attaque passe à l'intérieur de notre système de mitigation et le processus est interrompu.
Deux choix de conception, propres à Sophos Endpoint, permettent une telle approche :
- Sophos Endpoint charge sa protection runtime dans chaque processus exceptionnellement tôt via un mécanisme propriétaire. Cette capacité signifie que le piège est déjà prêt à se refermer dès le lancement de l'application ; la toute première action de l'attaquant est vérifiée par une défense qui l'attendait.
- Le mécanisme de mitigation se déclenche au moment précis de l'activation du malware : ce dernier est stoppé dès sa première tentative d'utilisation d'une API résolue, ni plus tôt (ce qui risquerait de générer des faux positifs sur du code inoffensif), ni plus tard (lorsque la charge virale est déjà en cours d'exécution). Au moment du déclenchement de l'attaque, le malware était en train de constituer la liste des fonctions Windows nécessaires au déploiement de sa deuxième phase.
Entre le 6 et le 8 mai, cette unique mesure de mitigation s'est déclenchée sur 11 endpoints client de notre base installée, bloquant l'exécution du programme d'installation JDownloader infecté par un cheval de Troie dans tous les cas, bien avant que l'équipe JDownloader n'ait terminé de corriger la faille de son côté.
La différence stratégique de Sophos Endpoint
Les attaquants adaptent leurs techniques d'évasion aux défenses qu'ils s'attendent à rencontrer, et l'hypothèse dominante est la protection fournie avec le système d'exploitation. C’est là que nous gagnons, dans les mesures de mitigation qui ne figurent pas dans leur matrice de test, dans les frictions qu’ils n’avaient pas prévues.
Ce qui rend l'avantage de Sophos Endpoint durable, c'est que la plupart des plus de 60 mesures de mitigation des risques d'exploitation s'appliquent par défaut à chaque application en cours d'exécution, sans compromettre la compatibilité et sans paramétrage par environnement. Kernel32Trap n’est pas une nouvelle fonctionnalité ; en fait, elle fonctionne discrètement depuis 10 ans : même chemin de code, aucun paramétrage, même protection efficace contre les attaques conçues pour contourner les défenses par défaut classiques.
Les produits comparables qui proposent des techniques similaires les limitent généralement à une ‘allow-list’ fixe de processus sensibles connus, ce qui est inefficace contre un programme d'installation infecté par un cheval de Troie qui peut s'exécuter sous n'importe quel nom de processus.
Voilà à quoi ressemble une défense en profondeur au niveau technique en production : une mesure de mitigation de 2016, appliquée universellement, transformant une technique d’évasion que MITRE lui-même signale comme inévitable en un non-événement pour 11 clients en deux jours.
Une histoire, et de nombreux autres exemples
Cette histoire illustre une approche utilisée par des adversaires malheureusement trop courante.
Nous avons observé un schéma similaire lors de l'incident CPU-Z en avril 2026, lorsque cpuid.com a été compromis et que les URL de téléchargement de CPU-Z et HWMonitor ont été remplacées par des liens vers des installateurs malveillants qui utilisaient le chargement latéral (sideloading) de DLL.
Sophos Endpoint a également bloqué cette campagne, sans connaissance préalable, cette fois via Dynamic Shellcode Protection, une autre mesure de mitigation spécifique à Sophos dans la même couche de Protection Runtime.
Renforcez vos défenses contre les attaques ciblant la supply chain avec Sophos Endpoint
Sophos Endpoint offre une protection inégalée contre les attaques humaines et celles menées par IA. Pour en savoir plus et l'essayer, rendez-vous sur sophos.com/endpoint.
Billet inspiré de Sophos Endpoint in action: Blocking a novel supply chain attack, sur le Blog Sophos.