Infos

GlassRAT espionne discrètement les commerçants

Un trojan d’administration à distance qui a été utilisé avec parcimonie au cours des trois dernières années dans le cadre d’attaques ciblées et qui à ce jour est difficilement détecté par la majorité des logiciels antivirus a été découvert.

Ce trojan, doté du nom de code GlassRAT, est signé à l’aide d’un certificat d’une société chinoise bien connue spécialisée dans le développement d’applications. Ce malware surveille les ressortissants chinois qui travaillent dans des sociétés commerciales et pourrait être associé à d’autres campagnes malveillantes connues déjà depuis l’année 2012.

GlassRAT a été découvert par les experts de RSA Security lors de l’analyse d’un cyberincident survenu plus tôt cette année. D’après RSA, la victime avait été un Chinois qui travaillait à l’étranger pour une « multinationale ». On ne sait toujours pas vraiment comment l’infection s’est produite. Les experts n’excluent pas la possibilité d’une campagne de phishing ciblée, de téléchargements de type « drive-by » ou d’un autre mode de remise propre à ce genre de cas.

« Nous ne disposions pas de beaucoup de données pour l’analyse et nous avons seulement pu repérer une activité spécifique dans le réseau d’une multinationale » explique Kent Backman, le chef d’enquête. « Il s’agissait du trafic de commande envoyé depuis l’appareil via la ligne de communication des commandes. La partie réceptrice participait à l’échange qui analysait le réseau dans lequel se trouvait l’ordinateur portable. Cela ressemblait à de la collecte d’informations ; c’était probablement le rôle de ce trojan d’accès à distance ».

Pour l’instant, les cibles principales des individus malintentionnés sont des organisations commerciales, ce qui laisse penser que l’espionnage industriel serait le motif. Ceci étant dit, une partie de l’infrastructure de commande de GlassRAT avait été utilisée contre des cibles dont l’activité était plus géopolitique.

« Nous pensons que la vitesse à laquelle la sélection des cibles a changé, depuis la géopolitique jusqu’au commerce, indique que nous sommes face à une autre section d’une grande organisation de piratage qui n’a dévoilé que quelques-unes des cartes de son jeu » estime Kent Backman.

D’après lui, RSA avait chargé la signature YARA sur VirusTotal et d’autres sources et avait patienté plusieurs mois dans l’attente du verdict. Ce n’est qu’après cela que les experts ont pu confirmer que l’infrastructure de GlassRAT avait été également utilisée dans des attaques contre les gouvernements de Mongolie et des Philippines, mais à l’époque, d’autres malwares avaient été utilisés, dont Mirage (MirageRAT), magicFire et PlugX.

« La fenêtre de chevauchement temporaire de l’infrastructure partagée était relativement brève, ce qui pourrait laisser penser à un petit problème technique dans le système de sécurité de GlassRAT, à moins que cela n’ait été un choix délibéré des exploitants » écrivent les experts dans leur rapport.

RSA n’a pas dévoilé le nom de la société où le certificat a été volé, mais a indiqué que ce certificat avait été révoqué par la suite. Les individus malintentionnés l’ont utilisé pour signer le dropper qui s’auto-détruit après le téléchargement du malware. D’après les experts, pendant l’installation de GlassRAT, une boîte de dialogue du certificat avec le nom de l’application développée par un éditeur de Pékin s’affiche ; selon RSA, cette application légitimes aurait déjà été téléchargée par 500 millions d’utilisateurs.

« Nous pouvons confirmer que l’utilisation de ce malware contre une grande multinationale a été très efficace. Il a été ignoré par les logiciels antivirus pendant plusieurs années, mais les chances de détection auraient été plus grande s’il avait été plus répandu » conclut Kent Backman.

Source: Threatpost

GlassRAT espionne discrètement les commerçants

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception