Slider

Cybercriminalité : ESET découvre de nouveaux outils informatiques cibles de la cyber-attaque

Des chercheurs d’ESET ont découvert de nouveaux outils utilisés par le groupe Gamaredon dans ses dernières campagnes malveillantes. Le premier outil cible Microsoft Outlook à l’aide d’un projet personnalisé Microsoft Outlook Visual Basic for Applications (VBA), qui permet aux pirates d’utiliser le compte de messagerie d’une victime pour envoyer des emails d’hameçonnage à des contacts de son carnet d’adresses. L’utilisation de macros Outlook pour diffuser des logiciels malveillants est une méthode rarement vue par les chercheurs. Le second outil est utilisé par ce groupe très actif pour injecter des macros et des références à des modèles distants dans des documents Word et Excel. Ces deux outils sont conçus pour aider le groupe Gamaredon à se propager davantage dans des réseaux déjà compromis.

« Au cours des mois précédents, nous avons constaté une augmentation de l’activité de ce groupe, avec des vagues constantes d’emails malveillants frappant les boîtes de messagerie de leurs cibles. Les pièces jointes de ces emails sont des documents contenant des macros malveillantes qui, lorsqu’elles sont exécutées, tentent de télécharger une multitude de types de logiciels malveillants différents, » explique Jean-Ian Boutin, Head of Threat Research chez ESET.

Les dernières versions de ces outils injectent des macros malveillantes ou des références à des modèles distants dans les documents existants sur le système attaqué, ce qui est un moyen très efficace pour se déplacer dans le réseau d’une entreprise, car les collaborateurs partagent régulièrement des documents. Grâce à une fonctionnalité spéciale qui permet de modifier les paramètres de sécurité des macros de Microsoft Office, les utilisateurs concernés n’ont absolument pas conscience qu’ils compromettent à nouveau leur poste de travail lorsqu’ils ouvrent les documents.

Le groupe utilise des portes dérobées et des analyseurs de fichiers pour identifier et collecter des documents sensibles dans un système compromis, afin de les télécharger sur un serveur de commande et de contrôle. Ces analyseurs de fichiers possèdent également des fonctions d’exécution de code arbitraire à partir du serveur de commande et de contrôle.

Il existe une distinction majeure entre Gamaredon et d’autres groupes : ces pirates ne font que peu ou pas d’efforts pour échapper à toute détection. Même si leurs outils sont capables d’utiliser des techniques furtives, il semble que le principal objectif de ce groupe soit de se répandre sur le plus profondément et le plus rapidement possible dans le réseau de ses cibles pour y exfiltrer des données.

« Bien que le détournement d’une boîte de messagerie compromise pour envoyer des emails malveillants sans le consentement de la victime ne soit pas une nouveauté, nous pensons qu’il s’agit du premier cas publiquement documenté d’un groupe de pirates utilisant un fichier OTM et une macro Outlook pour y parvenir, » ajoute M. Boutin à propos de la découverte d’ESET. « Nous avons pu collecter de nombreux échantillons de différents scripts, exécutables et documents malveillants utilisés par le groupe Gamaredon tout au long de ses campagnes. »

Le groupe Gamaredon est actif depuis au moins 2013. Il est responsable d’un certain nombre d’attaques, principalement contre des institutions ukrainiennes.

Les outils analysés dans cette étude ont été détectés comme étant des variantes de MSIL/Pterodo, Win32/Pterodo ou Win64/Pterodo, par les produits d’ESET.

Pour plus de détails techniques sur les derniers outils de Gamaredon, lisez l’article complet « Le groupe Gamaredon continue de se développer » sur le blog WeLiveSecurity.com. Suivez l’actualité d’ESET Research sur Twitter.

CONTACTS PRESSE
Darina SANTAMARIA : +33 01 86 27 00 39 – darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 – ines.k@eset-nod32.fr

À ne pas rater

Recherche scientifique : l’INERA doté des équipements de laboratoire pour la détection des virus et le diagnostic des maladies des plantes

Par Ginno Lungabu. A travers son projet «Cassava Brown Streak Disease», CBSD, financé par l'Agence Internationale de Développement...

Rentrée scolaire 2020 : ESET vous donne à travers une série d’infographies les clés pour protéger les activités en ligne de vos enfants

La rentrée scolaire de 2020 ne ressemblera à aucune autre. Qu'elle se déroule à l'école, physiquement, ou virtuellement, il est essentiel que les élèves, les...

La chute d’un enregistreur aérostat à Buta : la RDC interpellée à se doter d’un satellite !

Par Innocent Olenga. Un objet volant que l’on a erronément pensé être un satellite, est tombé dans la soirée de lundi 24 août à quelques...

La cyber-intimidation : un problème qui n’affecte pas que les jeunes !

Par Benoit Grunemwald (Expert de ESET). Chaque fois qu’il est question de cyber-intimidation, on pense généralement aux enfants ou aux adolescents. Beaucoup de choses ont été...

Identification des téléphones : rêve utopique d’Augustin Kibassa aux allures d’arnaque !

Par Ginno Lungabu. C’est le 24 septembre prochain que le ministre de Postes, Télécommunications et Nouvelles Technologies de l’Information et de la Communication (PTNTIC), Augustin...

Les plus lus

Insécurité à Kinshasa : des bandits armés attaquent une maison à Sanga Mamba et emportent tout !

Par Ben Lévi. A Kinshasa, surtout dans les quartiers quelque peu reculés, les populations vivent dans l’hystérie la plus totale lorsqu’il...

RDC-Médias : Ma vérité sur la crise à l’UNPC

Tribune de Joël Cadet Ndanga. Président de la Commission de Formation Professionnelle et Syndicale de l’UNPC, Journaliste et...

Dossier Transco : José Makila dépose effectivement sa plainte contre l’ODEP et le correspondant de RFI

Par Owandi. Comme annoncé et promis à Scooprdc.net, dimanche 20 septembre, d’ailleurs jour de son anniversaire, le sénateur...

Mis en cause dans le dossier TRANSCO : José Makila porte plainte contre ODEP et RFI !

Par Innocent Olenga. Le sénateur José Makila aussi président du Conseil d’administration de la Société Commerciale de Transports...

Augustin Kabuya éclabousse Claude Nyamugabo : «Personnellement, je me demande s’il est vraiment juriste !»

Par Ginno Lungabu. Les propos du Ministre Claude Nyamugabo à Kolwezi, prédisant le retour au pouvoir de Joseph...