L’éditeur Kaspersky vient de mettre à jour un nouveau malware baptisé CozyDuke qui s’adresse à des cibles très précises, la Maison-Blanche ou le Département d’Etat américain notamment.

Baptisé également CozyBear, CozyCar ou encore Office Monkeys, cozy Duke est une menace de type APT extrêmement précise, affirment Kurt Baumgartner et Costin Raiu de Kaspersky. L’éditeur russe indique avoir observé des attaques contre des organisations gouvernementales et des sociétés commerciales aux Etats-Unis, en Allemagne, en Corée du Sud et en Ouzbékistan. En 2014, les cibles ont également été la Maison-Blanche et le Département d’Etat. Les chercheurs précisent que l’opération présente plusieurs aspects très intéressants :

  • Victimes & cibles dotés de profils très sensibles.
  • Capacités évoluées en matière d’anti-détection et de chiffrement.
  • Similarités fonctionnelles et structurelles avec d’autres malwares comme CosmicDuke et OnionDuket. 

La technique principale d’infection consiste en un e-mail qui contient un lien vers un site web hacké. Ledit site web peut-être un site très honorable mais qui a été corrompu. Les chercheurs de Kaspersky citent l’exemple de http://diplomacy.pl qui héberge une archive ZIP lequel contient un fichier SFX RAR qui installe le malware avant d’afficher un document PDF vide.

D’autres techniques consistent à envoyer un fichier vidéo (office monkey video LOL.zip ou . exe) par exemple, lequel affiche une vidéo de singes en costumes (d’où le titre) et installe le malware séparément.

Le malware est capable de détecter si les produits de sécurité suivants sont installés sur le poste : Crystal, Kaspersky, Sophos, DrWeb, Avira, Comodo Dragon. Notons également que les composants de cette attaque sont signés avec des certificats numériques bidons Intel ou AMD.

Le processus détaillé d’infection est expliqué à cette adresse.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143224
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI