Le nouveau logiciel espion SandStrike cible les utilisateurs d'Android avec une application VPN piégée
Au cours du troisième trimestre 2022, les chercheurs de Kaspersky ont fait la découverte d’une campagne d'espionnage sur Android jusqu'alors inconnue, baptisée SandStrike. Cette dernière cible une minorité religieuse persanophone, les Baháʼí, en distribuant une application VPN qui contient un logiciel espion très sophistiqué. Les experts de Kaspersky ont également détecté une mise à jour très poussée du cluster DeathNote et, en collaboration avec SentinelOne, ont analysé Metatron, un malware jamais observé auparavant. Ces découvertes et bien d’autres sont détaillées dans le dernier rapport trimestriel de Kaspersky sur les menaces.
Pour inciter leurs victimes potentielles à télécharger les extensions dissimulant les logiciels espions, les acteurs de la menace ont créé des comptes Facebook et Instagram comptabilisant plus de 1000 abonnés, et ont conçu des infographies attrayantes sur le thème de cette religion, constituant ainsi un piège efficace pour ses adeptes. De plus, la plupart de ces profils malveillants contiennent un lien vers un canal Telegram également créé par les cyberpirates.
Sur ce canal, l’acteur à l'origine de SandStrike a distribué une application VPN en apparence inoffensive permettant d'accéder à des sites interdits dans certaines régions comme, par exemple, des ressources relatives à la religion. Pour rendre cette application pleinement fonctionnelle, les criminels ont mis en place leur propre infrastructure VPN.
Mais contrairement aux apparences, le VPN contient un logiciel espion actif, avec des fonctionnalités permettant aux agents malveillants de collecter et de voler des données sensibles: le spyware leur permet de traquer l’activité en ligne des personnes ciblées, de consulter leurs historiques d’appels et leurs listes de contact.
Tout au long du troisième trimestre de 2022, les acteurs APT ont continuellement modifié leurs tactiques, affiné leurs outils et développé de nouvelles techniques. Les découvertes les plus significatives sont les suivantes :
● Une nouvelle plateforme de logiciels malveillants sophistiqués ciblant les entreprises de télécommunication, les fournisseurs d’accès à Internet et les universités.
En collaboration avecSentinelOne, les chercheurs de Kaspersky ont analysé une plateforme de logiciels malveillants sophistiqués jusqu’alors inconnue, baptisée Metatron. Metatron cible principalement les entreprises de télécommunications, les fournisseurs de services Internet et les universités des pays d'Afrique et du Moyen-Orient. Metatron est conçue pour contourner les solutions de sécurité natives tout en déployant des plateformes de logiciels malveillants directement dans la mémoire des appareils infectés.
● La mise à niveau d'outils avancés et sophistiqués
Les experts de Kaspersky ont repéré Lazarus utiliser le cluster DeathNote pour faire de nouvelles victimes en Corée du Sud. L'acteur a probablement utilisé une compromission web stratégique, employant une chaîne d'infection similaire à celle que les chercheurs de Kaspersky avaient précédemment signalée, compromettant un dispositif de sécurité des terminaux. Autre élément, les chercheurs de Kaspersky ont observé que le malware et les schémas d'infection ont également été mis à jour. L'acteur a utilisé un logiciel malveillant qui n'avait jamais été observé auparavant, avec une fonctionnalité minimale pour exécuter les commandes du serveur C2. Grâce à l’implémentation de cette porte dérobée, l'opérateur a pu se cacher dans l'environnement numérique de la victime pendant un mois et recueillir des informations sur le système.
● Le cyber-espionnage reste la finalité principale des campagnes APT
Au troisième trimestre 2022, les chercheurs de Kaspersky ont détecté de nombreuses campagnes APT, prenant essentiellement pour cible les institutions gouvernementales. Les récentes investigations montrent que cette année, à partir de février, HotCousin a tenté de compromettre des ministères des affaires étrangères en Europe, en Asie, en Afrique et en Amérique du Sud.
"Comme nous l’avons constaté ces trois derniers mois, les acteurs APT s'emploient désormais à développer de nouveaux outils offensifs, et à améliorer leur arsenal préexistant pour déployer de nouvelles campagnes malveillantes. Ils emploient des méthodes intelligentes et inattendues pour déployer leurs opérations. C’est le cas de SandStrike, qui attaque les internautes via un service VPN, que les victimes ont téléchargé dans le but de se protéger sur internet. Aujourd'hui, il est facile de diffuser des logiciels malveillants via les réseaux sociaux sans que ces derniers ne soient détectés pendant plusieurs mois, voire plus. C'est pourquoi il est capital d'être plus vigilant que jamais et de s'assurer d’être armé des meilleurs renseignements sur les menaces et des bons outils pour se protéger des menaces existantes et émergentes", commente Victor Chebyshev, chercheur principal en sécurité au GReAT de Kaspersky.
Pour lire le rapport complet sur les tendances APT Q3 2022, rendez-vous surSecurelist.
Pour ne pas être la cible d'une attaque menée par un acteur connu ou inconnu, les experts de Kaspersky recommandent de mettre en œuvre les mesures suivantes :
● Donnez à votre équipe SOC un accès aux dernières informations sur la Threat Intelligence (TI). Le portail Kaspersky Threat Intelligence est un point d'accès unique à la TI, qui fournit des données sur les cyberattaques et des informations recueillies par Kaspersky depuis plus de 20 ans. Pour aider les entreprises à se défendre en cette période de crise, Kaspersky a décidé de donner un accès gratuit à des informations indépendantes, actualisées et provenant de sources internationales sur les cyberattaques et les menaces en cours. Demandez l’accèsici.
● Renforcezles compétences de votre équipe de cybersécurité pour lui permettre de faire face aux dernières menaces ciblées grâce à la formation en ligne Kaspersky développée par les experts du GReAT.
● Utilisez une solution EDR conçue pour la sécurité d’entreprise, commeKaspersky EDR Expert. Il est essentiel de savoir détecter les menaces réelles parmi la multitude d'alertes émises pour pouvoir analyser et répondre à un incident de la manière la plus efficace possible.
● En plus des solutions EDR, mettez en œuvre une solution pour la sécurité en entreprise, qui détecte les menaces avancées au niveau du réseau à un stade précoce, commeKaspersky Anti Targeted Attack Platform.
● Dispensez à votre personnel une formation de base sur la cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d'ingénierie sociale. Vous pouvez par exemple utiliser des outils tels queKaspersky Automated Security Awareness Platform.
Le nouveau logiciel espion SandStrike cible les utilisateurs d'Android avec une application VPN piégée
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >