Accueil > Nouvelles Cyber > StrongPity Hackers Launches Spyware Attack Against Turkey and Syria Targets
CYBER NOUVELLES

StrongPity Hackers lance une attaque de logiciels espions contre les cibles de la Turquie et de la Syrie

Des chercheurs en sécurité ont détecté qu'une attaque en cours était menée par un groupe de piratage appelé StrongPity utilisant des fichiers de logiciels espions. Les résultats montrent que cette campagne particulière semble cibler les cibles kurdes présentes dans ces pays..




La Turquie et la Syrie hôtes ciblés par des pirates expérimentés de StrongPity utilisant des logiciels espions modifiés

Le logiciel espion utilisé comme outil d'infiltration est une version modifiée d'un logiciel malveillant précédemment détecté. Ils incluent désormais de nouvelles fonctionnalités et des canaux de code reflétant le fait que les criminels sont expérimentés.

Les pirates se sont concentrés sur la présélection de leurs cibles afin qu'elles représentent les ordinateurs et les réseaux qui sont détenus et utilisés par les Kurdes. Cela montre clairement que cette campagne est à motivation politique. Les horodatages intégrés dans les fichiers capturés indiquent qu'ils coïncident avec Octobre 1 2019. Cela peut se référer à deux choses — la date de compilation des outils ou le début de Opertion Printemps de la paix — les actions militaires turques en Syrie qui ont utilisé ce nom de code. Tout cela montre qu'il est possible que la campagne soit même financée par l'État.

Les infections se font en présélectionnant les serveurs cibles, puis en lançant un virus cheval de Troie dangereux contre eux. Les versions modifiées des chevaux de Troie seront livrées via une attaque appelée abreuvoir. Ils sont effectués en sélectionnant des sites Web fréquemment visités qui seront piratés et redirigés vers une page de destination contrôlée par des pirates. Cela déclenchera le téléchargement d'un ensemble d'applications ou fichiers exécutables directs. Ces fichiers sont signés numériquement avec des certificats auto-signés qui apparaîtront comme un logiciel légitime. Des clés de chiffrement sont également ajoutées afin de cacher les compte-gouttes des analyses de sécurité ordinaires. Des exemples de bundles de logiciels infectés incluent des exemples tels que les suivants:

  • Programmes d'archivage — 7-Zip et WinRAR
  • Logiciels de sécurité — McAfee Security Scan Plus
  • Applications de récupération de fichiers — Recuva
  • Applications de connexion à distance — TeamViewer
  • Applications de chat — WhatsApp
  • Utilitaires système — Piriform CCleaner, CleverFiles, Drill Disk, Daemon Tools Lite, Glary Utilities et RAR Password Unlocker

Lorsque les droppers sont exécutés, le code malveillant démarre et interagit avec les serveurs contrôlés par les pirates en leur récupérant la deuxième étape des outils de spyware.

en relation: [wplinkpreview url =”https://sensorstechforum.com/ransomware-lenovoemc-nas-devices/ “]Un ransomware cible les périphériques NAS LenovoEMC

Les pirates StrongPity incluent des capacités avancées dans les logiciels espions

Lorsque les victimes ont engagé les fichiers de spywares concernés, cela conduira à le déploiement de 4 fichiers: le fichier d'installation du logiciel légitime, lanceur et son composant d'installation persistant pertinent, le composant de détournement de données et un moteur de recherche de fichiers.

Le cheval de Troie chargera d'abord l'installation réelle du logiciel légitime afin que les utilisateurs victimes ne soupçonnent aucune action potentiellement dangereuse. Cependant en attendant, le code du virus sera démarré en arrière-plan. Les composants malveillants sont livrés sous forme cryptée et sont extraits lorsqu'ils doivent être consultés dans des sections qui les protégeront de toute analyse de sécurité potentielle.

Le composant lanceur du logiciel espion sera livré dans le dossier SYSTEM à partir de là, il démarrera un service qui lui est propre. Les échantillons collectés montrent que le malware usurpera l'identité d'un service de système d'exploitation en cours d'exécution tel que Spouleur d'impression ou Serveur de maintenance du registre. Une action connexe est l'installation de la menace dans un état persistant. Cela signifie que le code de virus et tous les composants associés seront automatiquement lancés lorsque l'ordinateur sera allumé.

La collecte de données module fonctionnera aux côtés de la chercheur de fichiers afin de trouver des fichiers pouvant être jugés sensibles par les pirates. Cela inclut à la fois les informations personnelles de l'utilisateur et les données de la machine qui seront envoyées aux criminels via une connexion réseau.

Compte tenu de ces capacités, il est très possible que le code puisse être modifié pour inclure d'autres fonctionnalités telles que les suivantes:

  • Installation Malware supplémentaires — Pendant le processus d'infiltration, les logiciels espions peuvent être programmés pour fournir et installer du code malveillant dans toutes les principales catégories de virus. Cela peut inclure pleinement Les chevaux de Troie qui sont conçus pour prendre le contrôle des machines victimes et voler les données sensibles qu'elles contiennent. Les menaces Web portent souvent mineurs de crypto-monnaie ainsi - ils téléchargeront et exécuteront une séquence de tâches complexes à forte intensité de performances. Ils tireront parti des composants matériels les plus importants: CPU, Mémoire, Graphique, Espace disque, GPU et vitesse du réseau. Pour chaque tâche signalée terminée et signalée, les pirates recevront une crypto-monnaie en récompense. Un autre malware possible qui peut être installé serait un virus ransomware — ils traiteront les données utilisateur selon une liste intégrée d'extensions de type de fichier cible. Ils seront cryptés ce qui rendra l'inaccessible. Ils seront ensuite extorqués pour payer des frais de décryptage.
  • modifications du système — Les criminels peuvent également implémenter une manipulation avancée du système, notamment la modification des fichiers de configuration et des modifications du registre Windows. Cela peut rendre impossible le démarrage de certains services et peut également entraîner des erreurs inattendues et des problèmes système plus larges..
  • Recrutement botnet — Dans certains cas, les hôtes contaminés peuvent être recrutés sur un réseau mondial d'ordinateurs connectés. Leur pouvoir collectif peut être exploité pour des attaques à grande échelle qui peuvent être concentrées sur un seul ordinateur cible. Le type d'attaque le plus courant est le déni de service distribué des campagnes qui élimineront les sites cibles.

Ces campagnes ciblées devraient se poursuivre, car les groupes de piratage avancés sont politiquement motivés et utilisent des recherches préliminaires sur les réseaux de victimes visés..

avatar

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Partager sur Facebook Partager
Loading ...
Partager sur Twitter Tweet
Loading ...
Partager sur Google Plus Partager
Loading ...
Partager sur Linkedin Partager
Loading ...
Partager sur Digg Partager
Partager sur Reddit Partager
Loading ...
Partager sur Stumbleupon Partager
Loading ...