ESET®, http://www.eset.com/int/, pionnière depuis plus de deux décennies, à l’échelle globale, de la protection proactive, présente l’opération Potao Express, une analyse approfondie du groupe responsable de la famille de malware Win32/Potao. Dans un livre blanc du même nom, ESET donne des détails techniques, décrit les mécanismes de propagation et les attaques les plus spectaculaires depuis la première apparition du malware, en 2011, jusqu’à ce jour.

Win32/Potao est un malware d’espionnage. Il a été détecté le plus souvent en Ukraine et dans d’autres pays de la CEI parmi lesquels la Russie, la Géorgie et la Bièlorussie. La famille Potao est un troyen de espionnage cybernétique typique qui vole des mots de passe et des informations sensibles pour les présenter ensuite aux serveurs à distance des attaquants.

Comparable à BlackEnergy , Potao a été utilisé pour espionner le gouvernement ukrainien, la défense nationale et une importante agence de presse ukrainienne. Il a également été utilisé pour espionner les membres de MMM, un système financier de vente pyramidale très populaire en Russie et en Ukraine. En plus des nombreuses attaques il y a encore un autre élément très intéressant dans Win32/Potao.

“Lors de notre investigation de Win32/Potao, nous avons découvert une connexion très intéressante avec la version russe du logiciel très populaire de cryptage open-source TrueCrypt maintenant discontinuée,”explique Robert Lipovsky, chercheur senior en malware chez ESET.

Après des recherches plus poussées, l’équipe d’ESET a découvert une autre connexion entre TrueCrypt fonctionnant comme troyen et le site truecryptrussia.ru, qui, dans des cas spécifiques fournissait du logiciel de cryptage contaminé mais qui agissait également comme serveur de commandement et de contrôle (C&C) pour la porte dérobée.