{"id":15353,"date":"2020-07-24T13:16:15","date_gmt":"2020-07-24T13:16:15","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=15353"},"modified":"2020-07-24T13:18:16","modified_gmt":"2020-07-24T13:18:16","slug":"mata-framework","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/mata-framework\/15353\/","title":{"rendered":"MATA\u00a0: Un cadre de logiciels malveillants multi-plateformes"},"content":{"rendered":"

La panoplie d\u2019outils des cybercriminels est en constante \u00e9volution. Dernier exemple en date : le cadre malveillant MATA que nos experts ont r\u00e9cemment d\u00e9couvert. Les cybercriminels l\u2019utilisaient pour attaquer les infrastructures des entreprises dans le monde entier. Il peut fonctionner sous diff\u00e9rents syst\u00e8mes d\u2019exploitation et il est dot\u00e9 d\u2019un large \u00e9ventail d\u2019outils malveillants.<\/p>\n

Les malfaiteurs peuvent potentiellement utiliser MATA \u00e0 des fins criminelles tr\u00e8s diverses. Cependant, dans les cas que nous avons analys\u00e9s, les cybercriminels tentaient de trouver et de voler des donn\u00e9es dans les bases de donn\u00e9es des clients dans l\u2019infrastructure des victimes. Dans au moins un cas, ils ont \u00e9galement utilis\u00e9 MATA pour diffuser un ransomware (nos experts promettent une \u00e9tude s\u00e9par\u00e9e de cet incident).<\/p>\n

La sph\u00e8re d\u2019int\u00e9r\u00eat des attaquants \u00e9tait assez large. Parmi les victimes identifi\u00e9es de MATA figuraient des d\u00e9veloppeurs de logiciels, des fournisseurs d\u2019acc\u00e8s \u00e0 Internet, des sites de e-commerce, etc. La g\u00e9ographie de l\u2019attaque \u00e9tait \u00e9galement assez \u00e9tendue : nous avons d\u00e9tect\u00e9 des traces de l\u2019activit\u00e9 du groupe en Pologne, en Allemagne, en Turquie, en Cor\u00e9e, au Japon et en Inde.<\/p>\n

Pourquoi appelons-nous MATA un cadre ?<\/h2>\n

MATA n\u2019est pas simplement un logiciel malveillant riche en fonctionnalit\u00e9s. C\u2019est une sorte de constructeur permettant de charger des outils au fur et \u00e0 mesure des besoins. Commen\u00e7ons par le fait que MATA peut attaquer des ordinateurs utilisant les trois syst\u00e8mes d\u2019exploitation les plus populaires : Windows, Linux et macOS.<\/p>\n

Windows<\/h3>\n

Nos experts ont d\u2019abord d\u00e9tect\u00e9 des attaques MATA visant les appareils Windows. Elles se d\u00e9roulent en plusieurs \u00e9tapes. Au d\u00e9but, les op\u00e9rateurs MATA ont fait tourner un chargeur sur l\u2019ordinateur de la victime qui a d\u00e9ploy\u00e9 le module dit orchestrateur, qui, \u00e0 son tour, a t\u00e9l\u00e9charg\u00e9 des modules capables de diverses fonctions malveillantes.<\/p>\n

Selon les caract\u00e9ristiques du sc\u00e9nario d\u2019attaque sp\u00e9cifique, les modules pouvaient \u00eatre charg\u00e9s \u00e0 partir d\u2019un serveur HTTP ou HTTPS distant, \u00e0 partir d\u2019un fichier crypt\u00e9 sur le disque dur, ou transf\u00e9r\u00e9s par l\u2019infrastructure MataNet sur une connexion TLS 1.2. Les diff\u00e9rents modules MATA assortis peuvent :<\/p>\n