Se connecter
Inscription
Mot de passe perdu
Publié le 10/10/2016 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, le 10 octobre 2016 – Un acteur de menace opérant dans le secret, connu sous le nom de StrongPity, a attiré au cours de l’été dernier des utilisateurs de logiciels de cryptage vers ses watering holes (points d’eau) et installeurs infectés. C’est ce qui ressort d’un article publié sur Virus Bulletin par Kurt Baumgartner, chercheur en sécurité du Kaspersky Lab. Ce sont des utilisateurs en Italie et en Belgique qui ont été les plus touchés, mais l’on dénombre également des victimes aux Pays-Bas, en Turquie, en Afrique du Nord et au Moyen-Orient.
StrongPity est une menace persistante avancée (APT) techniquement évoluée qui vise principalement les données et la communication cryptées. Au cours des deux derniers mois, Kaspersky Lab a observé une augmentation considérable de ses attaques contre les utilisateurs en quête de deux outils de cryptage respectés : WinRAR (cryptage de documents) et TrueCrypt (cryptage de systèmes). Ce maliciel renferme des composants qui donnent aux attaquants le contrôle total sur le système de leurs victimes, leur permettant ainsi de voler le contenu de disques et de télécharger des modules supplémentaires pour collecter des données de communication et de contact. Jusqu’à présent, Kaspersky Lab a détecté des visites à des sites Web StrongPity et la présence de composants StrongPity sur plus de mille systèmes cibles.
Watering holes et installeurs infectés
Pour piéger leurs victimes, les attaquants ont conçu des sites Web frauduleux. Dans un cas précis, ils ont changé deux lettres dans un nom de domaine, de sorte que des clients croyaient qu’il s’agissait d’un site d’installation légitime pour le logiciel WinRAR. Ensuite, ils ont placé un lien bien en vue vers ce domaine nuisible sur le site Web d’un distributeur WinRAR en Belgique, où ils ont manifestement remplacé le lien « Recommandé » sur le site par celui du watering hole, pour mener les utilisateurs ne se doutant de rien vers leur installeur infecté. Kaspersky Lab a découvert le premier détournement fructueux le 28 mai 2016.
Pratiquement au même moment, le 24 mai, Kaspersky Lab a commencé à observer de l’activité sur le site Web d’un distributeur WinRAR italien. Dans ce cas, les utilisateurs n’étaient toutefois pas réacheminés vers un site Web frauduleux, puisque l’installeur StrongPity nuisible leur était directement administré depuis le site du distributeur.
StrongPity a en outre détourné des visiteurs de sites Web populaires de partage de logiciels vers ses installeurs TrueCrypt dotés d’un cheval de Troie. Cette activité se poursuivait encore fin septembre. Entre-temps, les liens malveillants ont été supprimés des sites de distributeurs WinRAR, mais le site TrueCrypt frauduleux était toujours en ligne fin septembre.
Répartition géographique des victimes
Il ressort des données de Kaspersky Lab que, en une seule semaine, le maliciel propagé via le site du distributeur italien est arrivé sur des centaines de systèmes en Europe, en Afrique du Nord et au Moyen-Orient, même s’il est probable que les infections soient bien plus nombreuses encore. Sur l’ensemble de l’été, ce sont l’Italie (87%), la Belgique (5%) et l’Algérie (4%) qui ont été les plus touchées. La répartition géographique du site Web infecté a été similaire en Belgique. Les utilisateurs de Belgique ont représenté en l’occurrence plus de la moitié (54%) des plus de 60 frappes fructueuses. Les attaques sur des utilisateurs par le biais du site Web TrueCrypt frauduleux se sont intensifiées en mai 2016, 95% des victimes provenant alors de Turquie.
"Les techniques utilisées par cet acteur de menace sont très judicieuses. Elles ressemblent à l’approche de la menace persistante avancée Crouching Yeti/Energetic Bear, début 2014, qui consistait à ajouter des chevaux de Troie à des installeurs légitimes pour des logiciels informatiques destinés à des systèmes logiciels industriels et à compromettre des sites de distribution authentiques. Ces tactiques sont une tendance dangereuse à laquelle l’industrie de la sécurité doit trouver une parade. La quête de vie privée et d’intégrité des données ne peut en aucun cas exposer un individu à des attaques de type watering hole. Ces attaques « point d’eau » sont par nature imprécises, et nous espérons lancer la discussion sur le besoin d’un contrôle plus simple et plus efficace sur la fourniture d’outils de cryptage", précise Kurt Baumgartner, Principal Security Researcher chez Kaspersky La
Kaspersky Lab détecte tous les composants StrongPity tels que HEUR:Trojan.Win32.StrongPity.gen et Trojan.Win32.StrongPity.* et toutes les autres détections génériques.
StrongPity est une menace persistante avancée (APT) techniquement évoluée qui vise principalement les données et la communication cryptées. Au cours des deux derniers mois, Kaspersky Lab a observé une augmentation considérable de ses attaques contre les utilisateurs en quête de deux outils de cryptage respectés : WinRAR (cryptage de documents) et TrueCrypt (cryptage de systèmes). Ce maliciel renferme des composants qui donnent aux attaquants le contrôle total sur le système de leurs victimes, leur permettant ainsi de voler le contenu de disques et de télécharger des modules supplémentaires pour collecter des données de communication et de contact. Jusqu’à présent, Kaspersky Lab a détecté des visites à des sites Web StrongPity et la présence de composants StrongPity sur plus de mille systèmes cibles.
Watering holes et installeurs infectés
Pour piéger leurs victimes, les attaquants ont conçu des sites Web frauduleux. Dans un cas précis, ils ont changé deux lettres dans un nom de domaine, de sorte que des clients croyaient qu’il s’agissait d’un site d’installation légitime pour le logiciel WinRAR. Ensuite, ils ont placé un lien bien en vue vers ce domaine nuisible sur le site Web d’un distributeur WinRAR en Belgique, où ils ont manifestement remplacé le lien « Recommandé » sur le site par celui du watering hole, pour mener les utilisateurs ne se doutant de rien vers leur installeur infecté. Kaspersky Lab a découvert le premier détournement fructueux le 28 mai 2016.
Pratiquement au même moment, le 24 mai, Kaspersky Lab a commencé à observer de l’activité sur le site Web d’un distributeur WinRAR italien. Dans ce cas, les utilisateurs n’étaient toutefois pas réacheminés vers un site Web frauduleux, puisque l’installeur StrongPity nuisible leur était directement administré depuis le site du distributeur.
StrongPity a en outre détourné des visiteurs de sites Web populaires de partage de logiciels vers ses installeurs TrueCrypt dotés d’un cheval de Troie. Cette activité se poursuivait encore fin septembre. Entre-temps, les liens malveillants ont été supprimés des sites de distributeurs WinRAR, mais le site TrueCrypt frauduleux était toujours en ligne fin septembre.
Répartition géographique des victimes
Il ressort des données de Kaspersky Lab que, en une seule semaine, le maliciel propagé via le site du distributeur italien est arrivé sur des centaines de systèmes en Europe, en Afrique du Nord et au Moyen-Orient, même s’il est probable que les infections soient bien plus nombreuses encore. Sur l’ensemble de l’été, ce sont l’Italie (87%), la Belgique (5%) et l’Algérie (4%) qui ont été les plus touchées. La répartition géographique du site Web infecté a été similaire en Belgique. Les utilisateurs de Belgique ont représenté en l’occurrence plus de la moitié (54%) des plus de 60 frappes fructueuses. Les attaques sur des utilisateurs par le biais du site Web TrueCrypt frauduleux se sont intensifiées en mai 2016, 95% des victimes provenant alors de Turquie.
"Les techniques utilisées par cet acteur de menace sont très judicieuses. Elles ressemblent à l’approche de la menace persistante avancée Crouching Yeti/Energetic Bear, début 2014, qui consistait à ajouter des chevaux de Troie à des installeurs légitimes pour des logiciels informatiques destinés à des systèmes logiciels industriels et à compromettre des sites de distribution authentiques. Ces tactiques sont une tendance dangereuse à laquelle l’industrie de la sécurité doit trouver une parade. La quête de vie privée et d’intégrité des données ne peut en aucun cas exposer un individu à des attaques de type watering hole. Ces attaques « point d’eau » sont par nature imprécises, et nous espérons lancer la discussion sur le besoin d’un contrôle plus simple et plus efficace sur la fourniture d’outils de cryptage", précise Kurt Baumgartner, Principal Security Researcher chez Kaspersky La
Kaspersky Lab détecte tous les composants StrongPity tels que HEUR:Trojan.Win32.StrongPity.gen et Trojan.Win32.StrongPity.* et toutes les autres détections génériques.
Plus d'articles dans cette catégorie
03/05/2024 @ 10:26:13
Poster un commentaire
Programmation
Jeux Vidéos
iOS
Android
Google
