{"id":18302,"date":"2021-12-23T13:33:00","date_gmt":"2021-12-23T11:33:00","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18302"},"modified":"2021-12-23T13:33:00","modified_gmt":"2021-12-23T11:33:00","slug":"pseudomanuscrypt-industrial-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/pseudomanuscrypt-industrial-malware\/18302\/","title":{"rendered":"L&rsquo;attaque hors-norme de PseudoManuscrypt"},"content":{"rendered":"<p>En juin 2021, nos sp\u00e9cialistes ont d\u00e9couvert un nouveau malware connu comme PseudoManuscrypt. Les m\u00e9thodes utilis\u00e9es par PseudoManuscrypt sont assez courantes pour un logiciel espion. Il agit comme un enregistreur de frappe, ce qui lui permet de recueillir des informations sur les connexions VPN \u00e9tablies et les mots de passe sauvegard\u00e9s, de voler le contenu du presse-papiers, d\u2019enregistrer le son gr\u00e2ce au microphone int\u00e9gr\u00e9 (si l\u2019ordinateur en a un) et de faire des captures d\u2019\u00e9cran. Une variante peut aussi voler les identifiants de connexion aux services de messagerie QQ et WeChat, enregistrer les vid\u00e9os et d\u00e9sactiver les solutions de s\u00e9curit\u00e9. Ensuite, il envoie les donn\u00e9es aux serveurs des cybercriminels.<\/p>\n<p>Nous vous invitons \u00e0 lire notre <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2021\/12\/16\/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign\/\" target=\"_blank\" rel=\"noopener\">rapport ICS CERT<\/a> pour obtenir plus de d\u00e9tails techniques sur cette attaque et pour conna\u00eetre les indicateurs de compromission.<\/p>\n<h2>L\u2019origine du nom<\/h2>\n<p>Nos experts ont trouv\u00e9 quelques ressemblances entre cette nouvelle attaque et la campagne d\u00e9j\u00e0 connue <a href=\"https:\/\/ics-cert.kaspersky.com\/reports\/2021\/02\/25\/lazarus-targets-defense-industry-with-threatneedle\/\" target=\"_blank\" rel=\"noopener\">Manuscrypt<\/a>. Pourtant, l\u2019analyse a r\u00e9v\u00e9l\u00e9 qu\u2019un acteur compl\u00e8tement diff\u00e9rent, du groupe APT41, a ant\u00e9rieurement utilis\u00e9 une partie du code du malware dans ses attaques. Nous devons encore d\u00e9terminer qui sont les responsables de cette nouvelle attaque, et pour le moment nous avons d\u00e9cid\u00e9 de l\u2019appeler PseudoManuscrypt.<\/p>\n<h2>Comment PseudoManuscrypt infecte le syst\u00e8me<\/h2>\n<p>L\u2019infection r\u00e9ussie d\u00e9pend d\u2019une succession d\u2019\u00e9v\u00e9nements assez complexes. L\u2019attaque de l\u2019ordinateur commence g\u00e9n\u00e9ralement lorsque l\u2019utilisateur t\u00e9l\u00e9charge et ex\u00e9cute un malware qui se fait passer pour une archive d\u2019installation pirat\u00e9e d\u2019un c\u00e9l\u00e8bre programme.<\/p>\n<p>Vous pouvez trouver l\u2019app\u00e2t utilis\u00e9 par PseudoManuscrypt en recherchant un logiciel pirat\u00e9 sur Internet. Les sites qui distribuent des codes malveillants en utilisant des requ\u00eates populaires sont tr\u00e8s bien plac\u00e9s dans les r\u00e9sultats des moteurs de recherche, et il semblerait que les cybercriminels le savent bien.<\/p>\n<p>Vous comprenez alors pourquoi il y a eu tellement de tentatives d\u2019infection des syst\u00e8mes industriels. En plus de pr\u00e9senter le malware comme un c\u00e9l\u00e8bre logiciel (suites Office, solutions de s\u00e9curit\u00e9, syst\u00e8mes de navigation et jeux de tir en 3D), les cybercriminels proposent aussi de fausses archives d\u2019installation de logiciels professionnels, dont certains outils qui permettent d\u2019interagir avec les automates programmables industriels (API) via ModBus. R\u00e9sultat\u00a0: un nombre anormalement \u00e9lev\u00e9 d\u2019ordinateurs avec des syst\u00e8mes de contr\u00f4le industriel (SCI) sont infect\u00e9s (7,2 % du total).<\/p>\n<div id=\"attachment_18303\" style=\"width: 1167px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-18303\" class=\"wp-image-18303 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2021\/12\/22193309\/pseudomanuscrypt-industrial-malware-search-results.png\" alt=\"R\u00e9sultats obtenus lors de la recherche de logiciels pirat\u00e9s. PseudoManuscrypt appara\u00eet dans le premier lien.\" width=\"1157\" height=\"947\"><p id=\"caption-attachment-18303\" class=\"wp-caption-text\">R\u00e9sultats obtenus lors de la recherche de logiciels pirat\u00e9s. PseudoManuscrypt appara\u00eet dans le premier lien. <a href=\"https:\/\/ics-cert.kaspersky.ru\/reports\/2021\/12\/16\/pseudomanuscrypt-a-mass-scale-spyware-attack-campaign\" target=\"_blank\" rel=\"noopener\">Source<\/a><\/p><\/div>\n<p>L\u2019exemple ci-dessus montre les r\u00e9sultats obtenus lorsque l\u2019on recherche un logiciel destin\u00e9 aux administrateurs syst\u00e8me et aux ing\u00e9nieurs r\u00e9seau. En th\u00e9orie, ce vecteur d\u2019attaque pourrait permettre aux cybercriminels d\u2019avoir pleinement acc\u00e8s \u00e0 l\u2019infrastructure de l\u2019entreprise.<\/p>\n<p>Les cybercriminels utilisent aussi un m\u00e9canisme de livraison de type malware en tant que service (MaaS) puisqu\u2019ils paient d\u2019autres escrocs pour distribuer PseudoManuscrypt. Cette pratique a donn\u00e9 lieu \u00e0 une caract\u00e9ristique int\u00e9ressante que nos experts ont d\u00e9couverte lorsqu\u2019ils analysaient la plateforme MaaS. PseudoManuscrypt \u00e9tait parfois associ\u00e9 \u00e0 un autre malware que la victime installait en un paquet unique. L\u2019espionnage est la finalit\u00e9 de PseudoManuscrypt mais les autres programmes malveillants peuvent avoir d\u2019autres objectifs, comme le chiffrement des donn\u00e9es pour demander le paiement d\u2019une ran\u00e7on.<\/p>\n<h2>Qui est victime de PseudoManuscrypt<\/h2>\n<p>PseudoManuscrypt a \u00e9norm\u00e9ment \u00e9t\u00e9 d\u00e9tect\u00e9 en Russie, en Inde, au Br\u00e9sil, au Vietnam et en Indon\u00e9sie. \u00c9tant donn\u00e9 le nombre consid\u00e9rable de tentatives d\u2019ex\u00e9cution du code malveillant, il faut savoir que les utilisateurs d\u2019entreprises industrielles repr\u00e9sentent une grande partie des victimes. Il s\u2019agit notamment des responsables des syst\u00e8mes d\u2019automatisation, d\u2019entreprises du secteur de l\u2019\u00e9nergie, de fabricants, d\u2019entreprises de construction et m\u00eame de fournisseurs de services pour les stations d\u2019\u00e9puration. De plus, un nombre inhabituel d\u2019ordinateurs infect\u00e9s \u00e9taient impliqu\u00e9s dans des processus d\u2019ing\u00e9nierie et dans la production de nouveaux produits des groupes industriels.<\/p>\n<h2>Comment se prot\u00e9ger contre PseudoManuscrypt<\/h2>\n<p>Pour ne pas \u00eatre victime de PseudoManuscrypt, vous devez avoir des solutions de protection fiables et r\u00e9guli\u00e8rement mises \u00e0 jour sur tous les syst\u00e8mes de l\u2019entreprise. De plus, nous vous conseillons de mettre en place des politiques qui compliquent la d\u00e9sactivation de la protection.<\/p>\n<p>Quant aux syst\u00e8mes informatiques industriels, nous disposons d\u2019une solution sp\u00e9cifique, <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/industrial?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Kaspersky Industrial CyberSecurity<\/a>, qui prot\u00e8ge les ordinateurs (y compris les plus sp\u00e9cialis\u00e9s) et surveille les transferts de donn\u00e9es qui ont des protocoles sp\u00e9cifiques.<\/p>\n<p>N\u2019oubliez pas que la formation du personnel est cruciale pour que tous connaissent les risques en cybers\u00e9curit\u00e9. Vous ne pouvez pas compl\u00e8tement \u00e9carter l\u2019\u00e9ventualit\u00e9 d\u2019une attaque d\u2019hame\u00e7onnage particuli\u00e8rement astucieuse, mais vous pouvez aider vos \u00e9quipes \u00e0 faire attention et vous pouvez les former sur les risques qu\u2019ils prennent lorsqu\u2019ils installent un programme non autoris\u00e9 (surtout s\u2019il est pirat\u00e9) sur les ordinateurs ayant acc\u00e8s aux syst\u00e8mes industriels.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une attaque informatique a affect\u00e9 un nombre surprenant de syst\u00e8mes de contr\u00f4le industriel.<\/p>\n","protected":false},"author":665,"featured_media":18304,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150],"tags":[2246,940,480,4244],"class_list":{"0":"post-18302","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-cybersecurite-industrielle","10":"tag-logiciel-espion","11":"tag-spyware","12":"tag-systemes-industriels"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/pseudomanuscrypt-industrial-malware\/18302\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/pseudomanuscrypt-industrial-malware\/23759\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/19258\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/25977\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/pseudomanuscrypt-industrial-malware\/23955\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/23625\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/pseudomanuscrypt-industrial-malware\/26596\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/pseudomanuscrypt-industrial-malware\/26204\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/pseudomanuscrypt-industrial-malware\/32108\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/pseudomanuscrypt-industrial-malware\/10384\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/pseudomanuscrypt-industrial-malware\/43177\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/pseudomanuscrypt-industrial-malware\/18691\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/pseudomanuscrypt-industrial-malware\/15630\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/pseudomanuscrypt-industrial-malware\/27880\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/pseudomanuscrypt-industrial-malware\/32236\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/pseudomanuscrypt-industrial-malware\/27948\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/pseudomanuscrypt-industrial-malware\/24697\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/pseudomanuscrypt-industrial-malware\/30119\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/pseudomanuscrypt-industrial-malware\/29910\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/cybersecurite-industrielle\/","name":"Cybers\u00e9curit\u00e9 industrielle"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18302","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=18302"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18302\/revisions"}],"predecessor-version":[{"id":18323,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18302\/revisions\/18323"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/18304"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=18302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=18302"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=18302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}