{"id":19007,"date":"2022-06-13T17:01:05","date_gmt":"2022-06-13T15:01:05","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=19007"},"modified":"2022-06-13T17:01:05","modified_gmt":"2022-06-13T15:01:05","slug":"windealer-man-on-the-side","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/windealer-man-on-the-side\/19007\/","title":{"rendered":"WinDealer : un logiciel espion avec un m\u00e9canisme de livraison particulier"},"content":{"rendered":"

Les experts de Kaspersky ont \u00e9tudi\u00e9 le programme malveillant WinDealer cr\u00e9\u00e9 par le groupe d\u2019APT LuoYu. La d\u00e9couverte la plus int\u00e9ressante est que les cybercriminels contr\u00f4lent apparemment cette m\u00e9thode d\u2019attaque de type \u00a0\u00bb\u00a0man-on-the-side\u00a0\u00a0\u00bb et l\u2019exploitent avec succ\u00e8s pour d\u00e9livrer le programme malveillant et pour prendre le contr\u00f4le des ordinateurs infect\u00e9s.<\/p>\n

Qu\u2019est-ce qu\u2019une attaque de type \u00ab\u00a0man-on-the-side\u00a0\u00bb et comment les op\u00e9rateurs de WinDealer s\u2019en servent-ils ?<\/h2>\n

Une attaque de type \u00a0\u00bb\u00a0man-on-the-side\u00a0\u00a0\u00bb implique que le cybercriminel contr\u00f4le le canal de communication d\u2019une fa\u00e7on ou d\u2019une autre, ce qui lui permet de lire le trafic et d\u2019introduire des messages arbitraires dans les \u00e9changes normaux de donn\u00e9es.<\/p>\n

Voici un exemple\u00a0: les cybercriminels interceptent une demande de mise \u00e0 jour d\u2019un programme parfaitement l\u00e9gitime et remplace le fichier de la mise \u00e0 jour par un autre corrompu. C\u2019est apparemment comme \u00e7a que WinDealer est distribu\u00e9.<\/p>\n

Les cybercriminels utilisent une m\u00e9thode similaire pour donner des ordres au programme malveillant install\u00e9 sur l\u2019ordinateur infect\u00e9. Pour que les chercheurs en s\u00e9curit\u00e9 aient plus de difficult\u00e9s \u00e0 trouver le serveur C&C, le programme malveillant ne contient pas l\u2019adresse exacte. \u00c0 la place, il essaie d\u2019acc\u00e9der \u00e0 une adresse IP choisie au hasard dans une fourchette pr\u00e9d\u00e9finie. Les cybercriminels interceptent la demande et y r\u00e9pondent. Dans certains cas, WinDealer essaie d\u2019acc\u00e9der \u00e0 une adresse qui n\u2019existe m\u00eame pas, mais arrive tout de m\u00eame \u00e0 obtenir une r\u00e9ponse gr\u00e2ce \u00e0 cette attaque de type \u00a0\u00bb\u00a0man-on-the-side\u00a0\u00ab\u00a0.<\/p>\n

Selon nos experts, pour r\u00e9ussir \u00e0 utiliser cette technique, les cybercriminels doivent constamment avoir acc\u00e8s aux routeurs de tout le sous-r\u00e9seau ou \u00e0 des outils avanc\u00e9s au niveau du fournisseur d\u2019Internet.<\/p>\n

Qui sont les cibles de WinDealer ?<\/h2>\n

La plupart des victimes de WinDealer se trouvent en Chine\u00a0: institutions diplomatiques \u00e9trang\u00e8res, membres de la communaut\u00e9 acad\u00e9mique et entreprises impliqu\u00e9es dans la d\u00e9fense, la logistique ou la t\u00e9l\u00e9communication. Pourtant, le groupe d\u2019APT LuoYu s\u2019en prend parfois \u00e0 d\u2019autres pays\u00a0: Autriche, R\u00e9publique tch\u00e8que, Allemagne, Inde, Russie et \u00c9tats-Unis. Ces derniers mois, il semblerait que les cybercriminels soient plus int\u00e9ress\u00e9s par les pays d\u2019Asie orientale et par les entreprises qui se trouvent en Chine.<\/p>\n

Quelles sont les capacit\u00e9s de WinDealer\u00a0?<\/h2>\n

Vous trouverez sur notre blog Securelist<\/a> une analyse technique d\u00e9taill\u00e9e du programme malveillant et de son m\u00e9canisme de livraison. En quelques mots, WinDealer a les capacit\u00e9s d\u2019un logiciel espion (spyware) moderne. Il peut\u00a0:<\/p>\n