Les chercheurs de Symantec ont dévoilé une autre porte dérobée sophistiquée, actuellement ciblant les organisations sud-coréens. La menace vise à obtenir le plein contrôle sur les systèmes infectés et peut exécuter un certain nombre d'opérations malveillantes.
Les recherches ont nommé le Duuzer porte dérobée (Backdoor.Duuzer) et ont découvert qu'il est lié à deux autres morceaux de logiciels malveillants – W32.Brambul et Backdoor.Joanap. Tous les trois cherchent à compromettre les entreprises dans les industries manufacturières situées dans cette partie du monde. Cependant, les backdoors peuvent facilement cibler d'autres régions.
Même si le logiciel malveillant a été rapporté juste en Octobre 26, analyse basée sur les indicateurs de compromis (IoC) indique que la menace a été autour depuis Juillet ou au début de cette année.
Il y a aussi des preuves solides que Duuzer n'agit pas sur son propre. Les auteurs de la porte dérobée sont soupçonnés de se propager deux autres menaces malveillantes avec des capacités de porte dérobée – W32.Brambul et Backdoor.Joanap. Ces derniers sont très probablement se propager à télécharger des charges utiles supplémentaires et espionner les systèmes exploités.
Qu'est-ce que nous savons à propos Duuzer So Far?
L'équipe d'experts de Symantec a découvert que Duuzer est conçu pour fonctionner sur les ordinateurs 32 bits et 64 bits. Non seulement la porte dérobée deux types de système affecte, mais il est également en mesure de déterminer si la machine infectée est virtuelle ou non. Il peut également détecter si la machine virtuelle a été faite par Virtual Box ou VMware. Si la cible est en effet une machine virtuelle, l'attaque est arrêté. Merci à cette capacité, la porte dérobée peut échapper à la détection par les chercheurs en sécurité des machines virtuelles en cours d'exécution à des fins de recherche.
Le chemin de la distribution exacte de Duuzer n'est pas encore clair. Les chances sont la menace se propage par e-mails de phishing lance et l'arrosage des attaques de trou.
Connaissez-vous Quelle attaque abreuvoir est?
Fondamentalement, une attaque de trou d'eau est un exploit de sécurité qui cherche à compromettre un groupe précis de consommateurs par des sites frappants que le groupe est en visite régulièrement. L'objectif final est tout à fait évident - infecter les ordinateurs des et l'obtention d'un accès à distance aux réseaux aux victimes des cibles du lieu de travail
La stratégie d'attaque informatique a été identifiée dans 2012 par RSA Security. La stratégie peut être très efficace - nous visitons nos pages préférées sur une base régulière, base quotidienne. Même si nous pouvons être très intelligent et rire les gens qui tombent pour les régimes de phishing, nous pourrions encore devenir les proies de logiciels malveillants simplement sauter à une page bien-aimée.
Quels sont Brambul et Joanap?
Comme déjà mentionné, l'attaque Duuzer est liée à deux autres menaces.
W32.Brambul est un type de ver malveillant. Il est distribué d'une machine à l'autre en se basant sur les attaques par force brute visant à le protocole Server Message Block. Ce type de protocole est appliqué pour fournir un accès partagé aux fichiers, des imprimantes et des ports série. Le ver peut également se connecter à des adresses IP aléatoires. Une fois exécuté, Brambul crée un partage réseau et accorde les cyber-criminels accès au lecteur système. Puis, il envoie un courriel avec les détails et les informations de connexion à une adresse préconfigurée. La menace est également observée pour télécharger d'autres logiciels malveillants.
Backdoor.Joanap est abandonné avec Brambul. Il est conçu pour ouvrir une porte dérobée et envoyer des fichiers spécifiques aux pirates. Il peut également télécharger et exécuter des fichiers, et exécuter ou mettre fin à des processus.
Les chercheurs ont dévoilé que les trois acteurs malveillants peuvent être employés pour travailler ensemble. Les machines infectées par la porte dérobée Brambul ont également été compromis par Duuzer. Aussi, ils ont été utilisés comme commande & les serveurs de commande pour l'attaque Duuzer.
Comment puis-je augmenter mes employés’ sécurité?
Il n'y a pas de formule unique. Les auteurs de malwares sont constamment essaient de trouver de nouvelles façons de se faufiler dans les organisations ciblées. L'infection débute habituellement en attaquant les « maillons les plus faibles ». Assurez-vous de vous renseigner, vos employés et même vos employeurs, si elles ne sont pas pris aucune mesure pour sécuriser leurs données.
- Assurez-vous d'utiliser une protection de pare-feu supplémentaire. Téléchargement d'un second pare-feu (comme ZoneAlarm, par exemple) est une excellente solution pour toutes les intrusions potentielles.
- Assurez-vous que vos programmes ont moins de pouvoir administratif sur ce qu'ils lisent et écrire sur votre ordinateur. Faites-les vous invitent accès administrateur avant de commencer.
- Utilisez des mots de passe forts. Des mots de passe forts (ceux qui ne sont pas de préférence mots) sont plus difficiles à craquer par plusieurs méthodes, y compris brute forcer, car il comprend des listes de passe avec des mots pertinents.
- Éteignez lecture automatique. Cela protège votre ordinateur des fichiers exécutables malveillants sur des clés USB ou autres supports de mémoire externes qui sont immédiatement insérés dans ce.
- Désactivez le partage de fichiers - il est recommandé si vous avez besoin de partage de fichiers entre votre ordinateur de passe pour protéger à limiter la menace que pour vous-même si infectés.
- Eteignez tous les services à distance - cela peut être dévastateur pour les réseaux d'affaires, car il peut causer beaucoup de dégâts sur une grande échelle.
- Si vous voyez un service ou un processus qui est de Windows externe et pas critique et est exploitée par des pirates (Comme Flash Player) désactiver jusqu'à ce qu'il y est une mise à jour qui corrige l'exploit.
- Assurez-vous toujours de mettre à jour les correctifs de sécurité critiques pour vos logiciels et OS.
- Configurez votre serveur de messagerie pour bloquer et supprimer des fichiers joints suspect contenant des emails.
- Si vous avez un ordinateur compromis dans votre réseau, assurez-vous d'isoler immédiatement en éteignant et en le déconnectant à la main à partir du réseau.
- Assurez-vous d'éduquer tous les utilisateurs sur le réseau de ne jamais ouvrir les pièces jointes suspectes, leur montrer des exemples.
- Employer une extension de détection de virus dans votre navigateur qui va scanner tous les fichiers téléchargés sur votre ordinateur.
- Éteignez tous les services non nécessaire sans fil, comme les ports infrarouge ou Bluetooth - pirates aiment à les utiliser pour exploiter les périphériques. Dans le cas où vous utilisez Bluetooth, assurez-vous que vous surveillez tous les périphériques non autorisés qui vous demandent de jumeler avec eux et de déclin et d'enquêter sur toutes les suspects.
- Employer une extension de détection de virus dans votre navigateur qui va scanner tous les fichiers téléchargés sur votre ordinateur.
- Employer une puissante solution anti-malware pour vous protéger contre les menaces futures automatiquement.