Il est assez int\u00e9ressant de constater que le code malveillant ne contient pas l\u2019adresse du serveur C&C. \u00c0 la place, le programme acc\u00e8de \u00e0 un article publi\u00e9 sur une plateforme publique, o\u00f9 il lit une cha\u00eene de caract\u00e8res qui, au premier abord, semble d\u00e9nu\u00e9e de sens. En r\u00e9alit\u00e9, cette cha\u00eene contient des informations chiffr\u00e9es qui permettent d\u2019activer la prochaine \u00e9tape de l\u2019attaque. Ce genre de tactique est connu sous le nom de dead drop resolver.<\/em><\/p>\n Au cours de la prochaine \u00e9tape, les cybercriminels prennent le contr\u00f4le de l\u2019ordinateur, installe un raccourci malveillant dans le dossier d\u2019ex\u00e9cution automatique (autorun, pour qu\u2019il ne cesse de s\u2019ex\u00e9cuter dans le syst\u00e8me) puis \u00e9tablissent une connexion avec le vrai serveur C&C. Cela ne se fait qu\u2019apr\u00e8s que le malware ait d\u00e9cod\u00e9 l\u2019adresse qui semble \u00eatre une autre cha\u00eene insignifiante publi\u00e9e sur un site Internet l\u00e9gitime.<\/p>\n L\u2019implant Powersing r\u00e9alise essentiellement deux t\u00e2ches. Il fait r\u00e9guli\u00e8rement des captures d\u2019\u00e9cran du dispositif de la victime et les envoie au serveur C&C, et il ex\u00e9cute d\u2019autres scripts PowerShell qu\u2019il t\u00e9l\u00e9charge \u00e0 partir du serveur C&C. En d\u2019autres termes, l\u2019objectif est de s\u2019implanter dans la machine de la victime pour lancer d\u2019autres outils.<\/p>\n Lors de chaque \u00e9tape, ce malware emploie diverses m\u00e9thodes pour contourner les technologies de s\u00e9curit\u00e9 et il choisit la m\u00e9thode suivant sa cible. De plus, s\u2019il d\u00e9tecte qu\u2019une solution de s\u00e9curit\u00e9 est install\u00e9e sur l\u2019ordinateur pris pour cible, il change de tactique ou se d\u00e9sactive. Nos experts pensent que les cybercriminels \u00e9tudient la cible et ajustent avec pr\u00e9cision les scripts de chaque attaque.<\/p>\n La technique la plus curieuse de DeathStalker est l\u2019utilisation de services publics comme m\u00e9canisme de dead-drop-resolver<\/em>. En substance, ces services autorisent le stockage d\u2019informations chiffr\u00e9es \u00e0 une adresse fixe sous la forme d\u2019articles, de commentaires, de profils utilisateurs et de descriptions de contenu publiquement accessibles. Ces publications peuvent ressembler \u00e0 ceci\u00a0:<\/p>\n De mani\u00e8re g\u00e9n\u00e9rale, ce n\u2019est qu\u2019une astuce. C\u2019est de cette fa\u00e7on que les cybercriminels essaient de cacher le d\u00e9but de la communication avec le serveur C&C puisqu\u2019ils font croire aux m\u00e9canismes de s\u00e9curit\u00e9 que quelqu\u2019un ne fait qu\u2019acc\u00e9der \u00e0 des sites Internet publics. Nos experts ont identifi\u00e9 des cas o\u00f9 les pirates informatiques ont utilis\u00e9 des sites Google+, Imgur, Reddit, ShockChan, Tumblr, Twitter, YouTube et WordPress \u00e0 ces fins. Cette liste est loin d\u2019\u00eatre compl\u00e8te. N\u00e9anmoins, il est peu probable que les entreprises bloquent l\u2019acc\u00e8s \u00e0 ces services.<\/p>\n Vous trouverez plus d\u2019informations sur un \u00e9ventuel lien entre le groupe DeathStalker et les malwares Janicab et Evilnum, ainsi qu\u2019une description technique compl\u00e8te de Powersing, avec quelques indicateurs de compromission, dans l\u2019article r\u00e9cemment publi\u00e9 sur Securelist au sujet de DeathStalker<\/a>.<\/p>\n La description des m\u00e9thodes et des outils utilis\u00e9s par le groupe permet de savoir quels dangers menacent une entreprise, m\u00eame assez petite, dans le monde moderne. \u00c9videmment, il est peu probable que ce groupe soit un acteur d\u2019APT d\u2019autant que les astuces utilis\u00e9es ne sont pas vraiment complexes. Pourtant, ses outils sont con\u00e7us pour d\u00e9jouer de nombreuses solutions de s\u00e9curit\u00e9. Nos experts conseillent de prendre ces quelques mesures de protection\u00a0:<\/p>\nComment tromper les m\u00e9canismes de s\u00e9curit\u00e9<\/h2>\n
![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2020\/08\/25152637\/DeathStalker-Powersing-message.png\")
<\/p>\nComment prot\u00e9ger votre entreprise de DeathStalker<\/h2>\n
\n