Ignorer le contenu principal

Une campagne "multi-malware" cible des organisations dans le monde entier à l'aide d'une backdoor, d'un keylogger et d'un mineur

23 octobre 2023

Le dernier rapport de Kaspersky révèle que plus de 10 000 attaques, ciblant pour la plupart des organisations mondiales, ont été menées au cours d’une campagne malveillante multi-malware. Cette campagne utilise des portes dérobées, des enregistreurs de frappe et des mineurs. Elle utilise de nouveaux scripts malveillants conçus pour désactiver les fonctions de sécurité et faciliter le téléchargement de logiciels malveillants, à des fins lucratives.

C’est suite à un rapport du FBI relatant ces attaques, décrites comme visant à infecter les organisations cibles avec des mineurs pour utiliser leurs ressources pour faire du crypto-mining, des keyloggers pour voler des données et des portes dérobées pour accéder au système, que les experts de Kaspersky ont commencé à étudier la campagne et établi qu’elle était toujours active.

La campagne en cours vise principalement des organisations telles que des agences gouvernementales, des organisations agricoles et des entreprises de commerce de gros et de détail. Entre mai et octobre, la télémétrie de Kaspersky montre que plus de 10 000 attaques ont affecté plus de 200 utilisateurs finaux. Les cybercriminels ont principalement pris pour cibles des victimes en Russie, en Arabie Saoudite, au Vietnam, au Brésil et en Roumanie. Des attaques occasionnelles ont également été identifiées aux États-Unis, en Inde, au Maroc et en Grèce.

Kaspersky a par ailleurs découvert de nouveaux scripts malveillants qui tentent de s'infiltrer dans les systèmes en exploitant les vulnérabilités des serveurs et des postes de travail. Une fois à l'intérieur, les scripts cherchent à manipuler Windows Defender, à obtenir des privilèges d'administrateur et à perturber le bon fonctionnement de divers produits antivirus.

Ensuite, les scripts tentent de télécharger une porte dérobée, un enregistreur de frappe et un mineur à partir d'un site web désormais hors ligne. Le mineur exploite les ressources du système pour générer diverses crypto-monnaies telles que Monero (XMR). Pendant ce temps, le keylogger capture la séquence complète des frappes effectuées par l'utilisateur sur le clavier et les boutons de la souris, tandis que la porte dérobée établit une communication avec un serveur de commande et de contrôle (C2) pour recevoir et transmettre des données. Cela permet à l'attaquant de prendre le contrôle à distance du système compromis.

« Cette campagne multi-malware évolue rapidement avec l'introduction de nouvelles modifications. La motivation des attaquants semble être la recherche de gains financiers par tous les moyens possibles. Les recherches de nos experts suggèrent que cela pourrait aller au-delà du minage de crypto-monnaie et impliquer des activités telles que la vente d'identifiants de connexion volés sur le dark web ou l'exécution de scénarios avancés utilisant les capacités de la porte dérobée », déclare Vasily Kolesnikov, expert en sécurité chez Kaspersky.« Nos produits, tels que Kaspersky Endpoint Security, permettent de détecter les tentatives d'infection, y compris celles effectuées avec les outils nouvellement modifiés, grâce à leurs capacités de protection étendues. »

L'analyse technique de la campagne est disponible sur Securelist. Pour se protéger des cybermenaces en constante évolution, Kaspersky recommande de mettre en œuvre les mesures de sécurité suivantes :

● Maintenez les logiciels à jour sur tous les appareils que vous utilisez afin d'empêcher les pirates de s'infiltrer dans votre réseau en exploitant les vulnérabilités.

● Installez des correctifs pour les nouvelles vulnérabilités dès que possible. Une fois les patchs téléchargés, les acteurs de la menace ne peuvent plus exploiter la vulnérabilité.

● Effectuer régulièrement un audit de sécurité de l'infrastructure informatique de l'organisation afin de détecter les lacunes et les systèmes vulnérables ;

● Choisir une solution de sécurité éprouvée pour les points d'accès, telle que Kaspersky Endpoint Security for Business, équipée de fonctions d’analyse comportementale et de contrôle des anomalies pour une protection efficace contre les menaces connues et inconnues. La solution dispose d'un système de contrôle des applications et des sites web pour minimiser les risques de lancement de cryptomineurs. L'analyse comportementale permet de détecter rapidement les activités malveillantes, tandis que le gestionnaire de vulnérabilités et de correctifs protège contre les cryptomineurs qui exploitent les vulnérabilités.

● Comme les informations d'identification dérobées peuvent être mises en vente sur le dark web, utilisez Kaspersky Digital Footprint Intelligence pour surveiller les ressources mises à disposition sur le dark net et identifier rapidement les menaces associées.

Une campagne "multi-malware" cible des organisations dans le monde entier à l'aide d'une backdoor, d'un keylogger et d'un mineur

Le dernier rapport de Kaspersky révèle que plus de 10 000 attaques, ciblant pour la plupart des organisations mondiales, ont été menées au cours d’une campagne malveillante multi-malware. Cette campagne utilise des portes dérobées, des enregistreurs de frappe et des mineurs. Elle utilise de nouveaux scripts malveillants conçus pour désactiver les fonctions de sécurité et faciliter le téléchargement de logiciels malveillants, à des fins lucratives.
Kaspersky logo

À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée fondée en 1997. En innovant dans le secteur grâce à son approche de « cyberimmunité », Kaspersky protège les particuliers, les entreprises, les infrastructures critiques et les pouvoirs publics contre les cybermenaces, avec plus d'un milliard d'appareils protégés à ce jour.

Kaspersky offre Cybersecurity True to Business, en mettant l'accent sur des résultats concrets, la protection du chiffre d'affaires, l'allègement de la charge de travail et la prévention des temps d'arrêt. L'expertise approfondie de Kaspersky en matière de Threat Intelligence et de sécurité se traduit en permanence par des solutions et des services innovants destinés aux organisations de toutes tailles, des petites entreprises aux grandes sociétés, alliant des technologies de protection éprouvées basées sur l'IA à une gestion simplifiée et à un accompagnement d'experts.

Reconnu par des tests indépendants et choisi par des millions de particuliers à travers le monde ainsi que par près de 200 000 organisations, Kaspersky permet de détecter les menaces plus tôt, de réagir plus rapidement et de travailler avec plus de confiance et de liberté, tout en protégeant ce qui compte le plus pour nos clients. Plus d'informations sur : www.kaspersky.fr.

Articles connexes Communiqués de presse