Les agences gouvernementales américaines ont révélé un nouveau virus originaire de Corée du Nord appelé le malware BLINDINGCAN qui est classé comme un cheval de Troie de porte dérobée. Les autorités américaines l'ont découvert dans une campagne Internet qui a été capturée par la Cybersecurity and Infrastructure Security Agency (CISA) et le FBI.
Des pirates nord-coréens ont conçu un nouveau cheval de Troie appelé le logiciel malveillant BLINDINGCAN
Le malware BLINDINGCAN est une arme dangereuse créée par des pirates informatiques nord-coréens expérimentés, ceci est selon une divulgation publique officielle publiée par les autorités américaines. L'organisation américaine CERT révèle que la découverte a été faite par des agents du FBI et de la Cybersecurity and Infrastructure Security Agency (CISA) qui suivaient les virus dans le monde.
Il a été révélé que la divulgation publique faisait partie du groupe parrainé par le gouvernement que nous connaissons sous le nom de Cobra caché. Il s'agit d'un collectif de haut niveau et expérimenté qui conçoit généralement certains des virus informatiques les plus complexes.. Le FBI pense utiliser cette nouvelle souche de malware dans attaques coordonnées contre les réseaux et ceci est fait par un grand réseau de serveurs proxy qui aident à cacher les tentatives d'intrusion.
Le virus a été détecté lors de l'une de ses tentatives d'intrusion en cours, les agences gouvernementales américaines ont découvert que les Nord-Coréens ont ciblé des entrepreneurs pour recueillir des renseignements sur les technologies militaires et énergétiques clés.
Pour ce faire, les criminels ont conçu un stratégie de phishing qui repose sur l'utilisation de fausses offres d'emploi qui fabriquent celles qui sont affichées par les entrepreneurs de la défense. À l'intérieur d'eux, il y a un implant de virus caché qui démarre automatiquement lors de l'interaction. De plus, les pirates utilisent un vaste réseau mondial de proxies, ce qui rend le suivi beaucoup plus difficile..
Les fichiers malveillants liés à cette attaque sont Microsoft Word .DOCX document et deux bibliothèques DLL respectives. Ils incluent des macros qui lanceront automatiquement la procédure d'installation respective. La Logiciel malveillant BLINDINGCAN une fois installé sur un système donné démarre un centre de commande et de contrôle à distance. Cela permettra aux Coréens de prendre le contrôle des systèmes et de détourner les données des utilisateurs. Le fichier cheval de Troie lui-même se cachera dans les dossiers système, ce qui rendra sa recherche très difficile.. Au cours de l'analyse, il a été constaté qu'il existe à la fois un 32 et version 64 bits développée afin de cibler le plus de systèmes possible. Les autres capacités du cheval de Troie BLINDINGCAN incluent les suivantes:
- récupération de données — Le logiciel malveillant peut accéder aux informations utilisateur du système et interagir avec le gestionnaire de disques, l'un des principaux composants du système d'exploitation Microsoft Windows. En utilisant cela, le virus peut interroger les composants matériels installés et vérifier l'espace libre sur l'ordinateur.
- Contrôle de processus — Le moteur antivirus principal peut être utilisé pour se connecter à des processus existants ou en créer de nouveaux pour lui-même. Cela signifie que le malware peut réserver sa propre mémoire et créer de nombreux threads, ce qui entraîne des actions de manipulation du système encore plus complexes..
- Déploiement de fichiers — En utilisant ce malware, les pirates peuvent télécharger des fichiers arbitraires sur les hôtes infectés et les exécuter. En conséquence, des infections supplémentaires peuvent être déclenchées.
- Installation furtive — Le principal moteur de Troie peut surveiller les services installés et se protéger de la détection. Il s'arrêtera de fonctionner et pourra même se supprimer si une analyse de sécurité approfondie est lancée.
Vous trouverez plus d'informations sur ce malware dans l'avis public appelé MAR-10295134-1.v1. Comme toujours, nous nous attendons à ce que ces attaques de piratage avancées se poursuivent.