DÉFINITION DU VIRUS

Type de virus : programme malveillant, menace persistante avancée (APT)

Qu'est-ce que la menace Darkhotel ?

La dernière menace virale appelée « Darkhotel », a été analysée par l'équipe Global Research and Analysis de Kaspersky Lab. Elle semble correspondre à une combinaison de phishing ciblé et de programme malveillant dangereux conçus pour capturer des données confidentielles.

Les cybercriminels à l'origine de Darkhotel opèrent depuis près d'une décennie en ciblant des milliers de victimes à travers le monde. 90 % des infections Darkhotel que nous avons observées ont été recensées au Japon, à Taïwan, en Chine, en Russie et en Corée mais également en Allemagne, aux États-Unis, en Indonésie, en Inde et en Irlande.

Informations détaillées sur la menace virale

Comment fonctionne la menace Darkhotel ?

Ces campagnes sont inhabituelles dans la mesure où elles utilisent des degrés différents de ciblage malveillant.

(1) Phishing ciblé

D'un côté, elles utilisent des e-mails de phishing ciblé pour infiltrer des bases industrielles de défense (BID), des gouvernements, des organisations non gouvernementales, des grands fabricants d'électronique et d'appareils, des entreprises pharmaceutiques, des prestataires de la santé, des organisations militaires et des responsables dans le secteur de l'énergie. Les attaques suivent un processus type de phishing ciblé avec des implantations Darkhotel bien dissimulées. Les e-mails utilisés comme leurres portent bien souvent sur les thèmes de l'énergie nucléaire et les capacités en matière d'armes. Ces dernières années, les e-mails de phishing ciblé contiennent une faille d'exploitation de type « zero-day » en pièce jointe ou des liens qui redirigent les navigateurs des cibles vers des failles d'exploitation zero-day d'Internet Explorer, leur but étant de dérober des données à ces organisations.

(2) Diffusion de programmes malveillants

De l'autre côté, elles propagent le programme malveillant à l'aveugle via des sites japonais de partage de fichiers P2P. Le programme malveillant est diffusé en tant qu'élément d'une archive RAR de taille importante qui prétend proposer du contenu à caractère sexuel mais qui, en réalité, installe un cheval de Troie qui recueille des données confidentielles appartenant à la victime.

(3) Infection

Dans une approche qui se situe entre ces deux extrémités, elles ciblent des cadres dirigeants peu méfiants qui voyagent à l'étranger et séjournent dans un hôtel. Dans ce type de campagne, les victimes sont infectées par un cheval de Troie rare, se faisant passer pour une mise à jour importante d'un logiciel connu, notamment Google Toolbar, Adobe Flash et Windows Messenger. La première phase de l'infection permet aux pirates de cerner leurs victimes et de télécharger d'autres programmes malveillants sur les ordinateurs de victimes plus importantes en vue de leur dérober des données confidentielles.

D’après une chaîne figurant au sein du code malveillant, il semble que les menaces proviennent d'un coréen.

Quelle est l'importance de Darkhotel ?

Hormis la sophistication technique de nombreuses attaques ciblées, elles commencent généralement par inciter des employés individuels à commettre une erreur qui met directement en péril la sécurité de l'entreprise. Le personnel en relation directe avec le public (ex. dirigeants, commerciaux et personnel marketing) peut être particulièrement vulnérable, notamment du fait qu'il est souvent en déplacement et susceptible d'utiliser des réseaux non fiables (ex. dans des hôtels) pour se connecter à un réseau d'entreprise.

Caractéristiques de la campagne Darkhotel

  • Attaques ciblées visant des cadres supérieurs : PDG, vice-présidents, directeurs des ventes et du marketing, et personnel de haut niveau travaillant dans le service de recherche et de développement
  • Le gang utilise des attaques ciblées et des opérations de style botnet. Il compromet les réseaux hôteliers, puis prépare des attaques à partir de ces réseaux contre des victimes haut placées. Dans le même temps, il utilise des opérations de style botnet pour une surveillance à grande échelle, exécute d'autres actions telles que des attaques DDoS (déni de service distribué) ou installe des outils d'espionnage plus sophistiqués sur les ordinateurs de victimes particulièrement intéressantes.
  • Utilisation de failles d'exploitation de type « zero-day » ciblant Internet Explorer et des produits Adobe.
  • Utilisation d'un enregistreur de frappe de faible niveau avancé pour dérober des données confidentielles.
  • Code malveillant signé utilisant des certificats numériques volés.
  • Campagne persistante : Darkhotel opère depuis près d'une décennie.

Comment puis-je me protéger contre une attaque Darkhotel ?

Bien que garantir une protection totale puisse être complexe, voici quelques conseils pour assurer votre sécurité pendant vos déplacements.

  1. Si vous envisagez d'accéder à un réseau wifi public ou semi-public, utilisez exclusivement des tunnels VPN fiables.
  2. Découvrez comment les attaques de phishing ciblé fonctionnent afin de mieux les comprendre.
  3. Assurez la maintenance et la mise à jour de l'ensemble des logiciels système.
  4. Vérifiez systématiquement les fichiers exécutables et gérez les fichiers partagés sur des réseaux P2P avec prudence et méfiance.
  5. Pendant vos déplacements, essayez de limiter les mises à jour des programmes.
  6. Installez un logiciel de sécurité Internet : assurez-vous qu'il inclut une protection proactive contre les nouvelles menaces plutôt qu'une simple protection antivirus de base.