AdvancedIPSpyware, un logiciel backdoored à l’architecture inhabituelle, cible des organisations du monde entier
Dans un récent rapport sur les logiciels criminels, les experts de Kaspersky ont notamment décrit AdvancedIPSpyware. Il s'agit d'une version backdoored (version dans laquelle une porte dérobée a été insérée) de la solution légitime Advanced IP Scanner, utilisée par les administrateurs réseau pour contrôler les réseaux locaux (LAN). Le programme malveillant a été diffusé à un large public, faisant des victimes en Amérique latine, en Afrique, en Europe occidentale, en Asie du Sud, en Australie ainsi que dans les pays de la CEI.
Ajouter du code malveillant à un logiciel inoffensif pour camoufler une activité nuisible et tromper l'utilisateur est une technique de plus en plus courante. Ce qui est plus inédit en revanche, c’est que les fichiers binaires malveillants soient signé. C'est précisément le cas d'AdvancedIPSpyware, qui est une version backdoored de l'outil légitime Advanced IP Scanner, couramment utilisé par les administrateurs de réseau pour contrôler les LAN. Il est très probable que le certificat avec lequel le malware a été signé ait été volé. La version malveillante du logiciel a été retrouvée sur deux sites, dont les noms de domaines sont presque identiques au site légitime d'Advanced IP Scanner, avec seulement une lettre de différence. Les sites Web se ressemblent aussi par leur apparence, la seule différence notable étant le bouton "téléchargement gratuit", ajouté sur les sites malveillants.
Une autre caractéristique peu commune d'AdvancedIPSpyware est que son architecture est modulaire. En général, on retrouve l'architecture modulaire dans des logiciels malveillants pilotés par des États, et non dans des logiciels criminels. Dans le cas d’AdvancedIPSpyware cependant, les attaques n'apparaissent pas ciblées, ce qui permet de conclure que cette menace ne dissimule pas des motivations politiques.
Les victimes de la campagne AdvancedIPSpyware sont effectivement réparties aux quatre coins du globe, avec des utilisateurs concernés en Amérique latine, en Afrique, en Europe occidentale, en Asie du Sud, en Australie ainsi que dans les pays de la CEI. Un total d’environ 80 victimes auraient été infectées tout au long de la campagne.
En plus d’AdvancedIPSpyware, le rapport sur les logiciels criminels publié sur Securelist comporte les entrées suivantes :
· BlackBasta, un groupe de ransomware découvert plus tôt en juillet 2022, a ajouté des fonctionnalités qui rendent les analyses judiciaires le concernant et sa détection plus difficiles, car le malware peut désormais se propager à travers le réseau lui-même.
· Les chercheurs ont découvert de nouvelles fonctionnalités de CLoader, un stealer initialement observé en avril 2022. Les agents malveillants de cette campagne se servaient des jeux et des logiciels piratés comme appâts pour inciter les utilisateurs à télécharger le logiciel infecté eux-même. Les fichiers ainsi téléchargés étaient des installateurs NSIS, contenant du code malveillant dans le script d'installation.
· En août 2022, une nouvelle campagne a été découverte, active depuis janvier 2022 minimum, et visant des personnes sinophones. Une chaîne YouTube populaire en langue chinoise, axée sur l'anonymat sur Internet, a publié une vidéo avec des instructions sur la manière d'installer le navigateur Tor. Cela n'a rien de surprenant en soi, le navigateur Tor étant bloqué en Chine, mais le lien figurant en description de la vidéo redirige l’internaute vers une version infectée de Tor.
"C’est l’email qui est l’outil le plus couramment utilisé par les cybercriminels et les Etats pour diffuser leurs campagnes malveillantes. Mais cette fois, nous nous sommes intéressés aux techniques moins courantes employées par les acteurs de la menace: si certaines sont déjà bien connues, d’autres sont plus surprenantes. L'AdvancedIPSpyware se distingue par son architecture inhabituelle, l'utilisation d'un programme légitime et une copie presque identique du site Web officiel", commente Jornt van der Wiel, expert en sécurité chez Kaspersky.
Pour en savoir plus sur AdvancedIPSpyware et les autres découvertes en matière de logiciels criminels, rendez-vous sur Securelist.com.
Pour vous protéger et protéger votre entreprise contre les attaques de ransomware, pensez à suivre ces recommandations de Kaspersky :
· N'exposez pas les services de bureau à distance (tels que Remote Desktop Protocol) aux réseaux publics, sauf en cas de nécessité absolue, et utilisez toujours des mots de passe forts pour ces services.
· Installez rapidement les correctifs disponibles pour les solutions VPN commerciales, fournissant un accès aux employés en télétravail et agissant comme des passerelles dans votre réseau.
· Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez pour empêcher les ransomwares d'exploiter les vulnérabilités.
· Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l'exfiltration de données vers Internet. Portez une attention particulière au trafic sortant pour détecter les tentatives de connexion des cybercriminels.
· Sauvegardez régulièrement vos données. Assurez-vous de pouvoir y accéder rapidement en cas d'urgence.
· Utilisez des solutions telles que Kaspersky Endpoint Detection and Response Expert et Kaspersky Managed Detection and Response, qui permettent d'identifier et de stopper les attaques à leurs débuts, avant que les pirates n'atteignent leurs objectifs.
· Pour protéger votre environnement d’entreprise, formez vos employés. Des cours de formation dédiés, tels que ceux proposés par la Kaspersky Automated Security Awareness Platform, peuvent vous y aider.
· Utilisez une solution de sécurité des points d'extrémité fiable, telle que Kaspersky Endpoint Security for Business, qui offre une prévention des attaques, une détection des comportements inhabituels et un moteur de restauration capable d'annuler les activités malveillantes. KESB dispose également de mécanismes d'auto-défense, qui peuvent empêcher sa suppression par les cybercriminels.
· Consultez les derniers renseignements sur la Threat Intelligence pour rester au courant des tactiques, techniques et procédures (TTP) réellement utilisées par les acteurs de la menace. Le portail Kaspersky Threat Intelligence est un point d’accès unique de renseignements sur les menaces, fournissant des données sur les cyberattaques et des informations recueillies par notre équipe depuis plus de 25 ans. Afin d'aider les entreprises à mettre en place des défenses efficaces en ces temps de turbulence, Kaspersky a annoncé l'accès gratuit à des informations indépendantes, mises à jour continuellement, et provenant du monde entier sur les cyberattaques et les menaces en cours. Demandez l'accès à cette offre ici.
AdvancedIPSpyware, un logiciel backdoored à l’architecture inhabituelle, cible des organisations du monde entier
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >