Nos experts ont d\u00e9tect\u00e9 des traces d\u2019activit\u00e9 d\u2019un nouveau groupe de cybercriminels qui espionne les industries. Les escrocs perp\u00e8trent des attaques cibl\u00e9es et utilisent un outil que nos chercheurs ont surnomm\u00e9 MontysThree pour trouver des documents sur l\u2019ordinateur de leurs victimes. Le groupe semble \u00eatre actif depuis 2018 au moins.<\/p>\n
Les cybercriminels ont recours \u00e0 des techniques classiques de spear-phishing<\/em> (harponnage) pour p\u00e9n\u00e9trer dans l\u2019ordinateur des victimes. Ils envoient des fichiers ex\u00e9cutables qui ressemblent \u00e0 des documents au format .pdf ou .doc par e-mail aux employ\u00e9es des entreprises industrielles. Ces fichiers apparaissent souvent le nom de \u00ab\u00a0Mise \u00e0 jour des donn\u00e9es d\u2019entreprise\u00a0\u00bb, \u00ab\u00a0Caract\u00e9ristiques techniques\u00a0\u00bb, \u00ab\u00a0Liste des num\u00e9ros de t\u00e9l\u00e9phone des employ\u00e9s 2019\u00a0\u00bb etc. Dans certains cas, les pirates informatiques essaient de faire passer ces fichiers pour des documents m\u00e9dicaux en les nommant \u00ab\u00a0R\u00e9sultats de votre analyse m\u00e9dicale\u00a0\u00bb ou \u00ab\u00a0Invitro-106650152-1.pdf\u00a0\u00bb. Il convient de souligner que Invitro est un des plus grands laboratoires russes.<\/p>\n MontysThree s\u2019en prend \u00e0 des documents sp\u00e9cifiques, aux formats Microsoft Office et Adobe Acrobat, qui se trouvent dans plusieurs r\u00e9pertoires et sur les m\u00e9dias connect\u00e9s. Apr\u00e8s avoir \u00e9t\u00e9 inject\u00e9, le malware fait le portrait de l\u2019ordinateur de la victime en envoyant la version du syst\u00e8me, la liste des processus et des captures d\u2019\u00e9cran du bureau \u00e0 son serveur de contr\u00f4le C&C<\/a> ainsi qu\u2019une liste des documents r\u00e9cemment ouverts dans les repertoires USERPROFILE et APPDATA qui ont les extensions .doc, .docx, .xls, .xlsx, .rtf , .pdf, .odt, .psw, et .pwd.<\/p>\n Les auteurs ont mis en place d\u2019autres m\u00e9canismes assez inhabituels dans leur malware. Par exemple, apr\u00e8s l\u2019infection, le module de t\u00e9l\u00e9chargement extrait et d\u00e9code le module principal qui est chiffr\u00e9 dans une image gr\u00e2ce \u00e0 la st\u00e9ganographie<\/a>. Nos experts pensent que les cybercriminels ont \u00e9crit l\u2019algorithme de st\u00e9ganographie \u00e0 partir de rien et qu\u2019ils ne l\u2019ont pas tout simplement copi\u00e9 de mod\u00e8les open-source comme c\u2019est souvent le cas.<\/p>\n Le malware utilise les services Cloud publics, comme Google, Microsoft, Dropbox et WebDAV pour communiquer avec le serveur de contr\u00f4le. De plus, le module de communication peut faire des demandes en passant par RDP et Citrix. Les cr\u00e9ateurs du malware n\u2019ont pas int\u00e9gr\u00e9 de protocole de communication dans leur code. MontysThree utilise plut\u00f4t des programmes l\u00e9gitimes (RDP, clients Citrix et Internet Explorer).<\/p>\n Pour que le malware reste le plus longtemps possible dans le syst\u00e8me de la victime, un module auxiliaire modifie les raccourcis de la barre d\u2019outils Quick Launch de Windows. Ainsi, lorsque l\u2019utilisateur ouvre un raccourci (celui du navigateur par exemple) le module de chargement MontysThree s\u2019ex\u00e9cute en m\u00eame temps.<\/p>\n Nos experts ne voient aucun d\u00e9tail qui permettrait de relier les cr\u00e9ateurs de MontysThree \u00e0 d\u2019autres attaques pass\u00e9es. Il semblerait que ce soit un groupe de cybercriminels totalement nouveau et, \u00e0 en juger par les morceaux de texte du code, leur langue maternelle serait le russe. De m\u00eame, leurs cibles principales sont tr\u00e8s probablement des entreprises qui parlent russe. Certains des r\u00e9pertoires dans lesquels le malware fouille n\u2019existe que dans la version cyrillique du syst\u00e8me. M\u00eame si nos experts ont aussi trouv\u00e9 des informations relatives aux comptes des services de communication qui laissent croire \u00e0 une origine chinoise, ils pensent que ce sont des faux d\u00e9tails qui servent \u00e0 brouiller les pistes.<\/p>\n Une description technique d\u00e9taill\u00e9e de MontysThree et des indicateurs de compromission<\/a> sont disponibles dans l\u2019article publi\u00e9 sur notre site Securelist.<\/p>\n Pour commencer, expliquez encore une fois \u00e0 vos employ\u00e9s que les attaques cibl\u00e9es commencent souvent avec un e-mail et qu\u2019ils doivent faire tr\u00e8s attention lorsqu\u2019ils ouvrent des fichiers, surtout s\u2019ils ne s\u2019attendaient pas \u00e0 les recevoir. Pour vous assurer qu\u2019ils comprennent pourquoi ils doivent rester sur leurs gardes, nous vous conseillons de leur expliquer les dangers d\u2019un tel comportement et d\u2019am\u00e9liorer leurs comp\u00e9tences dans la lutte contre les cybermenaces modernes en utilisant la plateforme Kaspersky Automated Security Awareness Platform<\/a>.<\/p>\n\nQu\u2019est-ce que les escrocs veulent\u00a0?<\/h2>\n
Qu\u2019est-ce que MontysThree peut faire d\u2019autre\u00a0?<\/h2>\n
Qui sont les cybercriminels ?<\/h2>\n
Que faire\u00a0?<\/h2>\n