{"id":5205,"date":"2016-02-11T16:55:01","date_gmt":"2016-02-11T16:55:01","guid":{"rendered":"https:\/\/kasperskydaily.com\/france\/?p=5205"},"modified":"2019-11-22T09:12:34","modified_gmt":"2019-11-22T09:12:34","slug":"adwind-rat","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/adwind-rat\/5205\/","title":{"rendered":"Le malware-as-a-service Adwind a fait plus de 400 000 victimes \u00e0 travers le monde"},"content":{"rendered":"<p>Lors du Security Analyst Summit 2016, notre \u00e9quipe de recherche et d\u2019analyse globales (Global Research and Analysis Team \u2013 GReAT) a publi\u00e9 des recherches approfondies sur l\u2019outil d\u2019acc\u00e8s \u00e0 distance (RAT) Adwind. Cet outil malveillant est \u00e9galement connu sous les noms d\u2019AlienSpy, Frutas, Unrecom, Sockrat, JSocket et jRat. Il a \u00e9t\u00e9 d\u00e9velopp\u00e9 pendant plusieurs ann\u00e9es et a \u00e9t\u00e9 distribu\u00e9 par une simple plate-forme de malware-as-a-service, ce qui signifie que quiconque pouvait verser une petite somme (allant de 25 $ \u00e0 300 $) pour le service et utiliser cet outil malveillant \u00e0 son avantage.<\/p>\n<p>Nos chercheurs de GReAT ont d\u00e9couvert cette plate-forme de maliciel pendant une tentative d\u2019attaque cibl\u00e9e contre une banque de Singapour. Le maliciel se pr\u00e9sentait sous la forme d\u2019un fichier Java malveillant joint \u00e0 un e-mail de harponnage qui avait \u00e9t\u00e9 re\u00e7u par un employ\u00e9 de la banque. Il s\u2019agissait simplement d\u2019un exemple typique de distribution de ce maliciel.<\/p>\n<p>Plusieurs fonctionnalit\u00e9s de ce maliciel ont attir\u00e9 l\u2019attention des chercheurs. Tout d\u2019abord, il pouvait \u00eatre ex\u00e9cut\u00e9s sur plusieurs plates-formes diff\u00e9rentes : en plus de Windows, il \u00e9tait capable d\u2019infecter les syst\u00e8mes d\u2019exploitation Linux, OS X et Android. Bien que Java ne constitue absolument pas une plate-forme de maliciels, on le consid\u00e8re n\u00e9anmoins comme la deuxi\u00e8me vuln\u00e9rabilit\u00e9 la plus importante en terme de s\u00e9curit\u00e9<strong>,\u00a0<\/strong>ce qui rend n\u00e9cessaire la publication constante de correctifs, la premi\u00e8re vuln\u00e9rabilit\u00e9 restant assur\u00e9ment le plug-in d\u2019Adobe Flash. De plus, les applications Java sont capables d\u2019\u00eatre ex\u00e9cut\u00e9es sur tous les syst\u00e8mes d\u2019exploitation de par leur conception. Cela fait de Java un environnement tr\u00e8s pratique pour ceux qui souhaiteraient d\u00e9velopper un maliciel multi-plate-forme. C\u2019est principalement pour cela qu\u2019Oracle <a href=\"https:\/\/en.wikipedia.org\/wiki\/java_security\" target=\"_blank\" rel=\"noopener nofollow\">fait beaucoup d\u2019efforts pour am\u00e9liorer la s\u00e9curit\u00e9 de Java<\/a>.<\/p>\n<p>\u00a0<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Oracle to Kill Java Browser Plugin: <a href=\"https:\/\/t.co\/aF0qj9WWWV\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/aF0qj9WWWV<\/a> via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/RIPJAVA?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#RIPJAVA<\/a> <a href=\"https:\/\/t.co\/5kbts0mNcD\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/5kbts0mNcD<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/692786385003089920?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">January 28, 2016<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>La seconde constatation suite \u00e0 la d\u00e9couverte du maliciel, c\u2019est qu\u2019il n\u2019\u00e9tait d\u00e9tect\u00e9 par aucun programme antivirus.<\/p>\n<p>Troisi\u00e8mement, il \u00e9tait tr\u00e8s comp\u00e9tent : la liste de ses fonctionnalit\u00e9s comprenait la capacit\u00e9 \u00e0 collecter des frappes sur le clavier, voler des mots de passe cach\u00e9s, des certificats VPN et des cl\u00e9s de portefeuilles de devises chiffr\u00e9es, prendre des captures d\u2019\u00e9cran, capturer des vid\u00e9os, des photos et des images du micro et de la webcam de l\u2019ordinateur, collecter des informations syst\u00e8me et d\u2019utilisateur, g\u00e9rer les SMS en cas d\u2019OS Android, et cetera. Comme vous pouvez le voir, la seule limite des criminels \u00e9tait leur talent et leur imagination.<\/p>\n<p>Apr\u00e8s tout, il s\u2019agissait d\u2019un outil d\u2019espionnage multi-plateformes tr\u00e8s puissant. Apr\u00e8s avoir enqu\u00eat\u00e9 sur l\u2019activit\u00e9 du maliciel, nos chercheurs sont parvenus \u00e0 la conclusion suivante : l\u2019histoire du la bo\u00eete \u00e0 outils malveillante Adwind est bien plus tr\u00e9pidante que ce qu\u2019il semblait au d\u00e9but.<\/p>\n<p>Il s\u2019est av\u00e9r\u00e9 que le maliciel a \u00e9t\u00e9 d\u00e9velopp\u00e9 depuis plusieurs ann\u00e9es et que les premiers \u00e9chantillons de celui-ci remontent jusqu\u2019\u00e0 l\u2019ann\u00e9e 2012. Il a eu plusieurs noms diff\u00e9rents \u00e0 diff\u00e9rentes \u00e9poques : ses cr\u00e9ateurs l\u2019ont appel\u00e9 Frutas en 2012, Adwind en 2013, Unrecom et AlienSpy en 2014 et JSocket en 2015.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">AlienSpy RAT Resurfaces as JSocket via <a href=\"https:\/\/twitter.com\/threatpost?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@threatpost<\/a> <a href=\"https:\/\/t.co\/5ZWmhpGiKm\" target=\"_blank\" rel=\"noopener nofollow\">https:\/\/t.co\/5ZWmhpGiKm<\/a> <a href=\"http:\/\/t.co\/koTpglGJjP\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/koTpglGJjP<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/635921635619524608?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">August 24, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Les experts de GReAT pensent qu\u2019il n\u2019y a qu\u2019un seul individu tr\u00e8s travailleur qui se cache derri\u00e8re la plate-forme Adwind, et qui a d\u00e9velopp\u00e9 et ajout\u00e9 de nouvelles fonctionnalit\u00e9s et modules pendant les quatre derni\u00e8res ann\u00e9es au moins. Malgr\u00e9 tout le raffut qu\u2019il y a autour de la s\u00e9curit\u00e9 Java, cette plate-forme n\u2019a pas \u00e9t\u00e9 cr\u00e9\u00e9e pour simplifier la vie des cybercriminels, et l\u2019auteur du maliciel Adwind a d\u00fb trouver un certain nombre de solutions pour que tout son plan puisse marcher. Bien entendu, cette personne pourrait aussi se reposer sur les \u00e9paules de sous-traitants, mais tous les efforts semblent fournir un revenu confortable : selon nos calculs, tout le service pourrait rapporter 200\u00a0000 $ par an. Cependant, si l\u2019on prend en compte que la derni\u00e8re version du portail n\u2019a \u00e9t\u00e9 lanc\u00e9e qu\u2019\u00e0 l\u2019\u00e9t\u00e9 2015, il est possible que le criminel attende encore son argent.<\/p>\n<p>Au d\u00e9but, la plate-forme ne comportait qu\u2019une interface en espagnol, mais une interface en anglais a \u00e9t\u00e9 ajout\u00e9e par la suite. Suite \u00e0 cette mise \u00e0 jour, Adwind a \u00e9t\u00e9 reconnu globalement par les cybercriminels de tous types, y compris par les escrocs pr\u00eats \u00e0 r\u00e9aliser toutes sortes de fraudes de niveau avanc\u00e9, les concurrents d\u00e9loyaux et les cybermercenaires engag\u00e9s pour espionner des personnes et des organisations. Il peut \u00e9galement \u00eatre utilis\u00e9 pour quiconque veut espionner des personnes qu\u2019il conna\u00eet.<\/p>\n<p>La situation g\u00e9ographique des victimes a chang\u00e9 au fil des ann\u00e9es. En 2013, c\u2019\u00e9taient les pays de langue arabe et hispanique qui comptaient le plus de victimes. Les criminels de l\u2019ann\u00e9e suivante ont vis\u00e9 la Turquie et l\u2019Inde, puis les EAU, les \u00c9tats-Unis et le Vietnam. En 2015, la Russie a compt\u00e9 le plus de victimes, suivie des EAU, de la Turquie, des \u00c9tats-Unis et de l\u2019Allemagne. Cela est compr\u00e9hensible \u00e9tant donn\u00e9 qu\u2019Adwind est vendu \u00e0 diff\u00e9rents cybercriminels qui vivent dans le monde entier.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-5207\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2016\/02\/06095156\/map_03_02_16.png\" alt=\"map_03_02_16\" width=\"2000\" height=\"1633\"><\/p>\n<p>Selon ce que nous savons, le nombre de victimes durant ces quatre ans s\u2019\u00e9l\u00e8ve \u00e0 443 000. Il convient \u00e9galement de signaler que nous avons observ\u00e9 d\u2019importants pics d\u2019infection fin 2015. Entre ao\u00fbt 2015 et janvier 2016, plus de 68 000 utilisateurs ont fait face \u00e0 une version du maliciel RAT Adwind. De plus, ce maliciel a fait son apparition dans une affaire de cyberespionnage en ao\u00fbt 2015. Il s\u2019est av\u00e9r\u00e9 que l\u2019une des solutions Adwind appel\u00e9e AlienSpy avait \u00e9t\u00e9 utilis\u00e9e pour espionner un procureur argentin qui a \u00e9t\u00e9 <a href=\"http:\/\/motherboard.vice.com\/read\/malware-hunter-finds-spyware-used-against-dead-argentine-prosecutor\" target=\"_blank\" rel=\"noopener nofollow\">retrouv\u00e9 mort<\/a> dans son appartement en janvier 2015, <a href=\"http:\/\/www.nytimes.com\/interactive\/2015\/02\/07\/world\/americas\/argentina-alberto-nisman-case.html\" target=\"_blank\" rel=\"noopener nofollow\">dans des circonstances myst\u00e9rieuses<\/a>.<\/p>\n<p>Les criminels qui ont achet\u00e9 et utilis\u00e9 le kit Adwind avaient pour cibles des personnes priv\u00e9es et des petites et moyennes entreprises d\u2019un certain nombre d\u2019industries comprenant la manufacture, la finance, l\u2019ing\u00e9nierie, le design, la vente, la gestion, le transport, les t\u00e9l\u00e9coms et beaucoup d\u2019autres.<\/p>\n<p>C\u2019est pour cela que nous ne pouvons qu\u2019encourager les entreprises \u00e0 reconsid\u00e9rer l\u2019objectif d\u2019utilisation de la plate-forme Java et \u00e0 la d\u00e9sactiver pour toutes les sources non autoris\u00e9es.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Lors du SAS 2016, nos experts GReAT ont parl\u00e9 d&rsquo;un maliciel multi-plate-forme bas\u00e9 sur Java et utilis\u00e9 par des centaines de cybercriminels pour poursuivre diff\u00e9rents objectifs.<\/p>\n","protected":false},"author":40,"featured_media":5206,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[1377,1378,59,1379,750,192,1383,1382,623,1385,204,24,1384,784,921,1371,1381,1372,1380,23],"class_list":{"0":"post-5205","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-adwind","10":"tag-alienspy","11":"tag-android","12":"tag-frutas","13":"tag-great","14":"tag-java","15":"tag-jrat","16":"tag-jsocket","17":"tag-linux","18":"tag-malware-as-a-service","19":"tag-menaces","20":"tag-os-x","21":"tag-outil-dacces-distant","22":"tag-rat","23":"tag-recherche","24":"tag-sas-2016","25":"tag-sockrat","26":"tag-thesas2016","27":"tag-unrecom","28":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/adwind-rat\/5205\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/adwind-rat\/6655\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/adwind-rat\/6731\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/adwind-rat\/6647\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/adwind-rat\/7695\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/adwind-rat\/7428\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/adwind-rat\/10804\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/adwind-rat\/11252\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/adwind-rat\/5967\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/adwind-rat\/6958\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/adwind-rat\/10356\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/adwind-rat\/10804\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/adwind-rat\/11252\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/adwind-rat\/11252\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/adwind\/","name":"Adwind"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/5205","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=5205"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/5205\/revisions"}],"predecessor-version":[{"id":13051,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/5205\/revisions\/13051"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/5206"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=5205"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=5205"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=5205"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}