Type de virus : programme malveillant, menace persistante avancée (APT)
La dernière menace virale appelée « Darkhotel », a été analysée par l'équipe Global Research and Analysis de Kaspersky Lab. Elle semble correspondre à une combinaison de phishing ciblé et de programme malveillant dangereux conçus pour capturer des données confidentielles.
Les cybercriminels à l'origine de Darkhotel opèrent depuis près d'une décennie en ciblant des milliers de victimes à travers le monde. 90 % des infections Darkhotel que nous avons observées ont été recensées au Japon, à Taïwan, en Chine, en Russie et en Corée mais également en Allemagne, aux États-Unis, en Indonésie, en Inde et en Irlande.
Comment fonctionne la menace Darkhotel ?
Ces campagnes sont inhabituelles dans la mesure où elles utilisent des degrés différents de ciblage malveillant.
D'un côté, elles utilisent des e-mails de phishing ciblé pour infiltrer des bases industrielles de défense (BID), des gouvernements, des organisations non gouvernementales, des grands fabricants d'électronique et d'appareils, des entreprises pharmaceutiques, des prestataires de la santé, des organisations militaires et des responsables dans le secteur de l'énergie. Les attaques suivent un processus type de phishing ciblé avec des implantations Darkhotel bien dissimulées. Les e-mails utilisés comme leurres portent bien souvent sur les thèmes de l'énergie nucléaire et les capacités en matière d'armes. Ces dernières années, les e-mails de phishing ciblé contiennent une faille d'exploitation de type « zero-day » en pièce jointe ou des liens qui redirigent les navigateurs des cibles vers des failles d'exploitation zero-day d'Internet Explorer, leur but étant de dérober des données à ces organisations.
De l'autre côté, elles propagent le programme malveillant à l'aveugle via des sites japonais de partage de fichiers P2P. Le programme malveillant est diffusé en tant qu'élément d'une archive RAR de taille importante qui prétend proposer du contenu à caractère sexuel mais qui, en réalité, installe un cheval de Troie qui recueille des données confidentielles appartenant à la victime.
Dans une approche qui se situe entre ces deux extrémités, elles ciblent des cadres dirigeants peu méfiants qui voyagent à l'étranger et séjournent dans un hôtel. Dans ce type de campagne, les victimes sont infectées par un cheval de Troie rare, se faisant passer pour une mise à jour importante d'un logiciel connu, notamment Google Toolbar, Adobe Flash et Windows Messenger. La première phase de l'infection permet aux pirates de cerner leurs victimes et de télécharger d'autres programmes malveillants sur les ordinateurs de victimes plus importantes en vue de leur dérober des données confidentielles.
D’après une chaîne figurant au sein du code malveillant, il semble que les menaces proviennent d'un coréen.
Hormis la sophistication technique de nombreuses attaques ciblées, elles commencent généralement par inciter des employés individuels à commettre une erreur qui met directement en péril la sécurité de l'entreprise. Le personnel en relation directe avec le public (ex. dirigeants, commerciaux et personnel marketing) peut être particulièrement vulnérable, notamment du fait qu'il est souvent en déplacement et susceptible d'utiliser des réseaux non fiables (ex. dans des hôtels) pour se connecter à un réseau d'entreprise.
Bien que garantir une protection totale puisse être complexe, voici quelques conseils pour assurer votre sécurité pendant vos déplacements.