Des chercheurs en sécurité ont détecté une nouvelle campagne de malware de masse associée au chargeur Manuscrpypt précédemment connu, qui fait partie de l'arsenal du groupe Lazarus APT. La découverte vient de la liste sécurisée de Kaspersky.
"Avec curiosité, le canal d'exfiltration des données du logiciel malveillant utilise une implémentation du protocole KCP qui n'a été vue dans la nature que dans le cadre de l'ensemble d'outils du groupe APT41. Nous avons surnommé le malware nouvellement identifié PseudoManuscrypt,” Les chercheurs de Secure List ont déclaré.
Qu'est-ce qu'un logiciel malveillant PseudoManuscrypt?
Le chargeur de malware nouvellement détecté utilise un MaaS (malware-as-a-service) plate-forme pour distribuer ses charges utiles malveillantes dans des archives d'installation de logiciels piratés. L'une des façons dont le malware se distribue sur un système est via le célèbre botnet Glupteba. Étant donné que Glupteba et PseudoManuscrypt s'appuient sur des logiciels piratés pour se propager, les chercheurs pensent que la campagne n'est pas ciblée et est plutôt à grande échelle.
A partir de janvier 2020 à novembre 10 2021, plus que 35,000 des instances du logiciel malveillant ont été bloquées sur des ordinateurs dans le monde entier. A noter que ce type d'attaque n'est pas typique du groupe Lazarus APT, surtout connu pour ses attaques ciblées.
Qui est visé? Les cibles des logiciels malveillants PseudoManuscrypt comprennent un grand nombre d'organisations industrielles et gouvernementales, comme les entreprises du complexe militaro-industriel et les laboratoires de recherche, le rapport dit.
La télémétrie révèle qu'au moins 7.2% de toutes les machines compromises par le malware PseudoManuscrypt font partie des systèmes de contrôle industriels (ICS) que les organisations utilisent dans diverses industries, comme l'ingénierie, Automatisation du bâtiment, Énergie, Fabrication, Construction, Utilitaires, et gestion de l'eau.
A quoi sert PseudoManuscrypt? Le module malware principal semble être conçu pour des fonctionnalités étendues de logiciels espions. Il est capable de récolter les données de connexion VPN, enregistrement des frappes, capturer des captures d'écran et des vidéos, enregistrer le son avec le microphone, voler les données du presse-papiers et les données du journal des événements du système d'exploitation, parmi d'autres. En un mot, les attaquants peuvent avoir le contrôle total du système compromis.
FinSpy est un autre logiciel espion hautement capable
En Septembre 2021, un autre logiciel espion très performant a été détecté dans la nature par Kaspersky. Les chercheurs suivaient le développement de FinSpy depuis 2011, avec une baisse inexplicable de son taux de détection pour Windows en 2018. C'est à ce moment que l'équipe a commencé à détecter les installateurs suspects d'applications légitimes, backdoor avec un téléchargeur obscurci relativement petit.
FinSpy a été décrit comme un logiciel espion hautement modulaire, qui a beaucoup de travail à faire. Les acteurs de la menace qui se cachent derrière ont fait des efforts extrêmes pour le rendre inaccessible aux chercheurs en sécurité. Cet effort est à la fois inquiétant et impressionnant. La même quantité d'efforts a été mise dans l'obscurcissement, anti-analyse, et le cheval de Troie lui-même.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: