Skip to main

Ajouter du code malveillant à un logiciel inoffensif pour camoufler une activité nuisible et tromper l'utilisateur est une technique de plus en plus courante. Ce qui est plus inédit en revanche, c’est que les fichiers binaires malveillants soient signé. C'est précisément le cas d'AdvancedIPSpyware, qui est une version backdoored de l'outil légitime Advanced IP Scanner, couramment utilisé par les administrateurs de réseau pour contrôler les LAN. Il est très probable que le certificat avec lequel le malware a été signé ait été volé. La version malveillante du logiciel a été retrouvée sur deux sites, dont les noms de domaines sont presque identiques au site légitime d'Advanced IP Scanner, avec seulement une lettre de différence. Les sites Web se ressemblent aussi par leur apparence, la seule différence notable étant le bouton "téléchargement gratuit", ajouté sur les sites malveillants. 

Une autre caractéristique peu commune d'AdvancedIPSpyware est que son architecture est modulaire. En général, on retrouve l'architecture modulaire dans des logiciels malveillants pilotés par des États, et non dans des logiciels criminels. Dans le cas d’AdvancedIPSpyware cependant, les attaques n'apparaissent pas ciblées, ce qui permet de conclure que cette menace ne dissimule pas des motivations politiques.

Les victimes de la campagne AdvancedIPSpyware sont effectivement réparties aux quatre coins du globe, avec des utilisateurs concernés en Amérique latine, en Afrique, en Europe occidentale, en Asie du Sud, en Australie ainsi que dans les pays de la CEI. Un total d’environ 80 victimes auraient été infectées tout au long de la campagne.

En plus d’AdvancedIPSpyware, le rapport sur les logiciels criminels publié sur Securelist comporte les entrées suivantes :

·         BlackBasta, un groupe de ransomware découvert plus tôt en juillet 2022, a ajouté des fonctionnalités qui rendent les analyses judiciaires le concernant et sa détection plus difficiles, car le malware peut désormais se propager à travers le réseau lui-même. 

·         Les chercheurs ont découvert de nouvelles fonctionnalités de CLoader, un stealer initialement observé en avril 2022. Les agents malveillants de cette campagne se servaient des jeux et des logiciels piratés comme appâts pour inciter les utilisateurs à télécharger le logiciel infecté eux-même. Les fichiers ainsi téléchargés étaient des installateurs NSIS, contenant du code malveillant dans le script d'installation.

·         En août 2022, une nouvelle campagne a été découverte, active depuis janvier 2022 minimum, et visant des personnes sinophones. Une chaîne YouTube populaire en langue chinoise, axée sur l'anonymat sur Internet, a publié une vidéo avec des instructions sur la manière d'installer le navigateur Tor. Cela n'a rien de surprenant en soi, le navigateur Tor étant bloqué en Chine, mais le lien figurant en description de la vidéo redirige l’internaute vers une version infectée de Tor.

"C’est l’email qui est l’outil le plus couramment utilisé par les cybercriminels et les Etats pour diffuser leurs campagnes malveillantes. Mais cette fois, nous nous sommes intéressés aux techniques moins courantes employées par les acteurs de la menace: si certaines sont déjà bien connues, d’autres sont plus surprenantes. L'AdvancedIPSpyware se distingue par son architecture inhabituelle, l'utilisation d'un programme légitime et une copie presque identique du site Web officiel", commente Jornt van der Wiel, expert en sécurité chez Kaspersky.

Pour en savoir plus sur AdvancedIPSpyware et les autres découvertes en matière de logiciels criminels, rendez-vous sur Securelist.com.

Pour vous protéger et protéger votre entreprise contre les attaques de ransomware, pensez à suivre ces recommandations de Kaspersky :

·         N'exposez pas les services de bureau à distance (tels que Remote Desktop Protocol) aux réseaux publics, sauf en cas de nécessité absolue, et utilisez toujours des mots de passe forts pour ces services.

·         Installez rapidement les correctifs disponibles pour les solutions VPN commerciales, fournissant un accès aux employés en télétravail et agissant comme des passerelles dans votre réseau.

·         Maintenez toujours les logiciels à jour sur tous les appareils que vous utilisez pour empêcher les ransomwares d'exploiter les vulnérabilités.

·         Concentrez votre stratégie de défense sur la détection des mouvements latéraux et l'exfiltration de données vers Internet. Portez une attention particulière au trafic sortant pour détecter les tentatives de connexion des cybercriminels.

·         Sauvegardez régulièrement vos données. Assurez-vous de pouvoir y accéder rapidement en cas d'urgence. 

·         Utilisez des solutions telles que Kaspersky Endpoint Detection and Response Expert et Kaspersky Managed Detection and Response, qui permettent d'identifier et de stopper les attaques à leurs débuts, avant que les pirates n'atteignent leurs objectifs.

·         Pour protéger votre environnement d’entreprise, formez vos employés. Des cours de formation dédiés, tels que ceux proposés par la Kaspersky Automated Security Awareness Platform, peuvent vous y aider.

·         Utilisez une solution de sécurité des points d'extrémité fiable, telle que Kaspersky Endpoint Security for Business, qui offre une prévention des attaques, une détection des comportements inhabituels et un moteur de restauration capable d'annuler les activités malveillantes. KESB dispose également de mécanismes d'auto-défense, qui peuvent empêcher sa suppression par les cybercriminels.

·         Consultez les derniers renseignements sur la Threat Intelligence pour rester au courant des tactiques, techniques et procédures (TTP) réellement utilisées par les acteurs de la menace. Le portail Kaspersky Threat Intelligence est un point d’accès unique de renseignements sur les menaces, fournissant des données sur les cyberattaques et des informations recueillies par notre équipe depuis plus de 25 ans. Afin d'aider les entreprises à mettre en place des défenses efficaces en ces temps de turbulence, Kaspersky a annoncé l'accès gratuit à des informations indépendantes, mises à jour continuellement, et provenant du monde entier sur les cyberattaques et les menaces en cours. Demandez l'accès à cette offre ici.


AdvancedIPSpyware, un logiciel backdoored à l’architecture inhabituelle, cible des organisations du monde entier

Dans un récent rapport sur les logiciels criminels, les experts de Kaspersky ont notamment décrit AdvancedIPSpyware. Il s'agit d'une version backdoored (version dans laquelle une porte dérobée a été insérée) de la solution légitime Advanced IP Scanner, utilisée par les administrateurs réseau pour contrôler les réseaux locaux (LAN). Le programme malveillant a été diffusé à un large public, faisant des victimes en Amérique latine, en Afrique, en Europe occidentale, en Asie du Sud, en Australie ainsi que dans les pays de la CEI.
Kaspersky Logo