GlassRAT espionne discrètement les commerçants

Un trojan d’administration à distance qui a été utilisé avec parcimonie au cours des trois dernières années dans le cadre d’attaques ciblées et qui à ce jour est difficilement détecté par la majorité des logiciels antivirus a été découvert.

Ce trojan, doté du nom de code GlassRAT, est signé à l’aide d’un certificat d’une société chinoise bien connue spécialisée dans le développement d’applications. Ce malware surveille les ressortissants chinois qui travaillent dans des sociétés commerciales et pourrait être associé à d’autres campagnes malveillantes connues déjà depuis l’année 2012.

GlassRAT a été découvert par les experts de RSA Security lors de l’analyse d’un cyberincident survenu plus tôt cette année. D’après RSA, la victime avait été un Chinois qui travaillait à l’étranger pour une « multinationale ». On ne sait toujours pas vraiment comment l’infection s’est produite. Les experts n’excluent pas la possibilité d’une campagne de phishing ciblée, de téléchargements de type « drive-by » ou d’un autre mode de remise propre à ce genre de cas.

« Nous ne disposions pas de beaucoup de données pour l’analyse et nous avons seulement pu repérer une activité spécifique dans le réseau d’une multinationale » explique Kent Backman, le chef d’enquête. « Il s’agissait du trafic de commande envoyé depuis l’appareil via la ligne de communication des commandes. La partie réceptrice participait à l’échange qui analysait le réseau dans lequel se trouvait l’ordinateur portable. Cela ressemblait à de la collecte d’informations ; c’était probablement le rôle de ce trojan d’accès à distance ».

Pour l’instant, les cibles principales des individus malintentionnés sont des organisations commerciales, ce qui laisse penser que l’espionnage industriel serait le motif. Ceci étant dit, une partie de l’infrastructure de commande de GlassRAT avait été utilisée contre des cibles dont l’activité était plus géopolitique.

« Nous pensons que la vitesse à laquelle la sélection des cibles a changé, depuis la géopolitique jusqu’au commerce, indique que nous sommes face à une autre section d’une grande organisation de piratage qui n’a dévoilé que quelques-unes des cartes de son jeu » estime Kent Backman.

D’après lui, RSA avait chargé la signature YARA sur VirusTotal et d’autres sources et avait patienté plusieurs mois dans l’attente du verdict. Ce n’est qu’après cela que les experts ont pu confirmer que l’infrastructure de GlassRAT avait été également utilisée dans des attaques contre les gouvernements de Mongolie et des Philippines, mais à l’époque, d’autres malwares avaient été utilisés, dont Mirage (MirageRAT), magicFire et PlugX.

« La fenêtre de chevauchement temporaire de l’infrastructure partagée était relativement brève, ce qui pourrait laisser penser à un petit problème technique dans le système de sécurité de GlassRAT, à moins que cela n’ait été un choix délibéré des exploitants » écrivent les experts dans leur rapport.

RSA n’a pas dévoilé le nom de la société où le certificat a été volé, mais a indiqué que ce certificat avait été révoqué par la suite. Les individus malintentionnés l’ont utilisé pour signer le dropper qui s’auto-détruit après le téléchargement du malware. D’après les experts, pendant l’installation de GlassRAT, une boîte de dialogue du certificat avec le nom de l’application développée par un éditeur de Pékin s’affiche ; selon RSA, cette application légitimes aurait déjà été téléchargée par 500 millions d’utilisateurs.

« Nous pouvons confirmer que l’utilisation de ce malware contre une grande multinationale a été très efficace. Il a été ignoré par les logiciels antivirus pendant plusieurs années, mais les chances de détection auraient été plus grande s’il avait été plus répandu » conclut Kent Backman.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *