Kaspersky Lab : Découverte d’attaques «invisibles» dans 40 pays à l’aide d’un malware caché

Kaspersky Lab : Découverte d’attaques «invisibles» dans 40 pays à l’aide d’un malware caché

La cybercriminalité semble aller bon train partout dans le monde. Un constat qu’a fait Kaspersky Lab après avoir découvert une série d’attaques ciblées «invisibles».

Ces attaques, faites principalement à des banques, des opérateurs de télécommunications et des administrations, ont été perpétrées grâce à un malware caché. Plus de 40 pays ont été ciblés en Europe, aux Etats-Unis, en Amérique du Sud et en Afrique. Selon les experts de Kaspersky Lab, ces attaques seraient indétectables car elles utilisent une méthode très particulière. Le malware serait mis en place grâce à un logiciel légitime, tel un test d’intrusion ou bien le framework PowerShell. Après avoir été installé, ledit logiciel n’installe aucun ficher malveillant sur le disque dur, mais il se cache en mémoire. C’est ce qui rend le virus indétectable à travers des techniques de liste blanche. Il ne laisse presque pas d’indice aux enquêteurs ou échantillon de malware exploitable. En plus d’être indétectable, le malware reste de manière brève, juste le temps de collecter des informations, avant que toute trace d’effraction soit effacée du système au premier redémarrage. Une découverte qui a été faite après que Kaspersky Lab eut été contacté par une banque de l’ex-URSS, vers la fin de 2016.

En effet, la banque avait remarqué l’utilisation fréquente du logiciel d’intrusion Meterpreter dans la mémoire de leurs serveurs, un endroit où ce genre de logiciel n’a pas lieu d’être. Par la suite, les experts de Kaspersky ont trouvé que le code Meterpreter était associé à un certain nombre de scripts PowerShell légitimes et d’autres utilitaires. Le code et les scripts PowerShell légitimes combinés ont été adaptés afin de pouvoir se cacher en mémoire, pour collecter par la suite de manière invisible, des mots de passe des administrateurs système de sorte que des cybercriminels puissent prendre à distance le contrôle de la machine de leurs victimes. L’objectif ultime paraît être d’accéder à des processus financiers.

Autre découverte de la part de Kaspersky Lab, ces attaques s’opèrent à une échelle massive, touchant plus de 140 réseaux d’entreprises dans différents secteurs d’activité, la plupart des victimes se trouvant aux Etats-Unis, en France, en Equateur, au Kenya, au Royaume-Uni et en Russie. Les experts de la société privée spécialisée dans la sécurité attribuent ces attaques à deux groupes de hackers connus sous le nom GCMAN et Carbanak, car leurs méthodologies se rapprochent le plus de ce genre d’attaque.

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *