Infos

Les auteurs de la cyberattaque Musical Chairs ont actualisé le RAT

Il y a quelques jours, des experts de Palo Alto Networks ont levé le voile sur une cybercampagne qui utilise le Trojan Gh0st RAT et qui est active depuis plus de cinq ans. Cette campagne malveillante a été baptisée Musical Chairs (chaises musicales) ; dans le cadre de celle-ci, une nouvelle version du malware a commencé à être diffusée en juillet. Elle a été baptisée Piano Gh0st par la société californienne spécialisée dans la sécurité de l’information.

Les chercheurs signalent que le Trojan Gh0st RAT est d’origine chinoise, qu’il est connu depuis longtemps et qu’il est souvent utilisé dans les campagnes d’espionnage. Son code source et le builder sont accessibles sur Internet. La nouvelle version Piano est une des versions dérivées de la version Gh0st 3.6. Les auteurs de Musical Chairs utilisent un nouvel emballage pour masquer la charge utile : Piano Gh0st arrive chez la victime sous la forme d’un fichier exécutable auto-extractible (SFW) qui fait office de dropper. La charge utile est enregistrée dans le système en tant que Piano.dll. Les fonctions principales de ce fichier sont le déchiffrement, le téléchargement et l’exécution de la bibliothèque dynamique qu’il contient (cheval de Troie Gh0stRat). A l’instar des autres versions de Gh0st 3.6 utilisées dans le cadre de Musical Chairs, Piano est capable d’enregistrer les frappes au clavier et de garantir un accès à distance, notamment via l’utilisation des connexions audio et vidéo, ainsi que la gestion des fichiers en tant qu’administrateur.

« Ce qui marque le plus dans l’infrastructure de Musical Chairs, c’est sa longévité et l’utilisation de plusieurs serveurs de gestion de Gh0st sur un même nœud » explique les chercheurs sur le blog de Palo Alto. Ceci étant dit, ils estiment, d’après leurs observations, que les individus malintentionnés n’utilisent qu’un seul serveur de commande depuis deux ans pour communiquer avec le malware via une version personnalisée du protocole TCP.

D’après les données obtenues, les auteurs de la campagne Musical Chairs utilisent certains domaines depuis 2010. Le domaine le plus ancien dans cette infrastructure est lié à un serveur Windows 2003 associé à une adresse IP américaine. Toutefois, l’accès à ce dernier s’opère via une interface en chinois. D’après les données de Palo Alto, ce serveur a été sollicité par au moins 32 versions différentes de Gh0st de 2013 à nos jours.

Les chercheurs ne se sont pas prononcés sur l’identité des auteurs de Piano Gh0St mais ils se sont contenté de signaler que Gh0stRat-dll contient un chemin d’accès vers un débogueur qui contient des caractères chinois. Cela peut vouloir dire que l’auteur du virus a installé le kit linguistique chinois (GB2312).

Le Trojan Gh0st RAT se propage normalement via des campagnes de spam de phishing au départ de comptes compromis. Le fichier malveillant joint au message porte en général un nom évocateur comme Beautiful Girls.exe (jolies filles), Sexy Girls.exe (filles sexy) ou Gift card.exe (chèque-cadeau). D’après Palo Alto, les éléments d’ingénierie sociale utilisés par les diffuseurs des messages sont assez simples, les cibles sont choisies au hasard et les diffusions sont organisées depuis des boîtes aux lettres compromises chez des fournisseurs américains.

« Les comptes donnent une impression de légitimité et ils ont certainement été compromis par les auteurs de l’attaque. Dans de nombreux cas, les messages de phishing sont envoyés à tous les contacts du carnet d’adresses de la victime, y compris aux adresses no-reply que les opérateurs humains ignorent normalement » expliquent les chercheurs. Les chercheurs de Palo Alto affirment que pour l’instant, les attaques de Piano Gh0st se limitent principalement au territoire des Etats-Unis.

Source: Threatpost

Les auteurs de la cyberattaque Musical Chairs ont actualisé le RAT

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception