Le groupe de piratage DeathStalker est un groupe de logiciels malveillants récemment découvert qui s'infiltre dans les petites et moyennes entreprises du monde entier.. La recherche montre que leur objectif principal est les établissements qui opèrent dans le secteur financier. Il a émergé pour la première fois il y a quelques années principalement en tant que groupe de hackers contre le feu et est maintenant devenu un collectif beaucoup plus expérimenté et dangereux..
DeathStalker Hacking Grou expérimenté lance une attaque contre des sociétés financières dans le monde
Les chercheurs en sécurité informatique indiquent que le groupe de piratage DeathStalker est le coupable de nombreuses campagnes d'attaques à fort impact. Ils semblent se concentrer sur établissements financiers à travers le monde: les continents connus qui ont été touchés jusqu'à présent comprennent l'Europe, Asie et Amérique latine. Du informations disponibles il est évident qu'ils ont utilisé leur expérience accumulée pour créer des attaques de piratage réussies.
Ce que nous savons, c'est que le groupe a été contacté par différentes parties afin de mener des intrusions contre des réseaux cibles pour le paiement. Ces mercenaires criminels sont actifs depuis 2018, peut-être même 2012 et ils peuvent être liés à d'autres groupes de piratage. Ils se sont fait connaître de la communauté de la sécurité grâce à l'implant basé sur PowerShell qui a utilisé appelé Pouvoir. Il est principalement distribué aux cibles via e-mails de phishing SPAM qui sont préparés et envoyés en vrac. Les victimes recevront un fichier LNK dans le contenu ou les pièces jointes. Il est déguisé en document de bureau ordinaire cependant, une fois lancé, il exécutera la charge utile Powersing respective. Il exécutera une infiltration très complexe en plusieurs étapes sur le système local.
L'analyse des échantillons montre que l'implant va s'installer comme un virus persistant – -il fonctionnera lorsque l'ordinateur est allumé et rendra également difficile l'accès aux options de récupération ou le suivi des guides de suppression manuelle de l'utilisateur. Il comprendra également un Agent cheval de Troie qui établira une connexion solide avec un serveur contrôlé par les pirates et permettra aux pirates de prendre le contrôle des machines.
Cela permet pratiquement aux pirates d'espionner constamment les victimes, y compris la possibilité de prendre automatiquement des captures d'écran de l'activité des utilisateurs et de les envoyer aux victimes. Cela permet également exécution de code arbitraire — cela permet non seulement divers types de modifications du système, mais aussi la possibilité de déployer d'autres malwares.
Au cours de l'attaque de piratage DeathStalker, l'analyse de sécurité révèle que les pirates ont utilisé plusieurs services publics comme résolveurs Dead Drop — en les utilisant comme hôtes de contenu, les pirates peuvent demander au malware distant d'exécuter des commandes ou de fournir des URL pour les charges utiles du malware. Ils sont encodés dans des messages en clair comme une communication ordinaire, mais chaque ligne signale en fait un code caché que les virus locaux peuvent comprendre. Il a été constaté que les scripts PowerShell utilisent les scripts suivants:
Google , Imgur, Reddit, ShockChan, Tumblr, Gazouillement, YouTube et WordPress
Les experts estiment que cet outil de piratage sophistiqué continuera à être développé et utilisé lors des prochaines attaques.. Tout cela montre que les criminels informatiques sont déterminés à créer des moyens complexes d'infecter autant de cibles que possible.