Attaque De Spyware

Des chercheurs en cybersécurité ont découvert aujourd’hui de nouveaux détails sur les attaques de points d’eau contre la communauté kurde en Syrie et en Turquie à des fins de surveillance et d’exfiltration de renseignements.

La menace persistante avancée derrière l’opération, appelée StrongPity, s’est rééquipé avec de nouvelles tactiques pour contrôler les machines compromises, la firme de cybersécurité Bitdefender dit dans un rapport partagé avec The Hacker News.

Les horodatages des échantillons de logiciels malveillants analysés utilisés dans la campagne coïncidant avec l’offensive turque dans le nord-est de la Syrie (nom de code Opération Printemps de la paix) en octobre dernier, Bitdefender a déclaré que les attaques auraient pu être motivées par des considérations politiques.

Utilisation d’installateurs corrompus pour supprimer les logiciels malveillants

StrongPity (ou Prométhium) a été rendu public pour la première fois en Octobre 2016 après des attaques contre des utilisateurs en Belgique et en Italie qui ont utilisé des points d’eau pour livrer des versions malveillantes des logiciels de chiffrement de fichiers WinRAR et TrueCrypt.

Publicité

Depuis lors, l’APT est liée à un Opération 2018 qui a abusé du réseau de Türk Telekom pour rediriger des centaines d’utilisateurs en Turquie et en Syrie vers des versions StrongPity malveillantes de logiciels authentiques.

Sécurité Informatique

Ainsi lorsque les utilisateurs ciblés tentent de télécharger une application légitime sur le site officiel, une attaque de point d’eau ou une redirection HTTP est effectuée pour compromettre les systèmes.

En juillet dernier, AT&T Alien Labs a trouvé la preuve d’une nouvelle campagne de spywares qui exploitait des versions de Troie du logiciel de gestion de routeur WinBox et de l’archiveur de fichiers WinRAR pour installer StrongPity et communiquer avec l’infrastructure adverse.

La nouvelle méthode d’attaque identifiée par Bitdefender reste la même: cibler les victimes en Turquie et en Syrie en utilisant une liste IP prédéfinie en tirant parti des installateurs falsifiés – y compris McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp et CCleaner de Piriform – hébergés sur des agrégats de logiciels localisés et des partageurs.

« Il est intéressant de noter que tous les fichiers examinés concernant les applications contaminées semblent avoir été compilés du lundi au vendredi, pendant 9 à 6 UTC + 2 heures de travail normales », ont indiqué les chercheurs. « Cela renforce l’idée que StrongPity pourrait être une équipe de développeurs sponsorisée et organisée, rémunérée pour livrer certains » projets « . »

Une fois le dropper de malware téléchargé et exécuté, la porte dérobée est installée, ce qui établit une communication avec un serveur de commande et de contrôle pour l’exfiltration de documents et pour récupérer les commandes à exécuter.

Sécurité Informatique

Il déploie également un composant « File Searcher » sur la machine de la victime qui parcourt chaque lecteur et recherche des fichiers avec des extensions spécifiques (par exemple, des documents Microsoft Office) à exfiltrer sous la forme d’une archive ZIP.

Ce fichier ZIP est ensuite divisé en plusieurs fichiers cryptés « .sft » cachés, envoyés au serveur C&C, et finalement supprimés du disque pour couvrir toutes les traces de l’exfiltration.

Expansion au-delà de la Syrie et de la Turquie

Bien que la Syrie et la Turquie puissent être leurs cibles récurrentes, l’acteur de la menace derrière StrongPity semble étendre sa victimologie pour infecter les utilisateurs en Colombie, en Inde, au Canada et au Vietnam en utilisant des versions corrompues de Firefox, VPNpro, DriverPack et 5kPlayer.

Malware

Appelant cela StrongPity3, Chercheurs Cisco Talos hier a décrit une boîte à outils de logiciels malveillants en évolution qui utilise un module appelé « winprint32.exe » pour lancer la recherche de documents et transmettre les fichiers collectés. De plus, le faux programme d’installation de Firefox vérifie également si le logiciel antivirus ESET ou BitDefender est installé avant de supprimer le logiciel malveillant.

« Ces caractéristiques peuvent être interprétées comme des signes que cet acteur de la menace pourrait en fait faire partie d’un service d’entreprise pour une entreprise de location », ont déclaré les chercheurs. « Nous pensons que cela caractérise une solution professionnelle, car la similitude de chaque logiciel malveillant est extrêmement similaire mais utilisée sur différentes cibles avec des modifications mineures. »


Rate this post
Publicité
Article précédentNvidia GeForce RTX 2070 Super vs AMD Radeon RX 5700 XT: mise à jour 2020
Article suivantLa nouvelle chaussure de tennis Nike allie technologie de basket-ball et de course à pied
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici