Ce logiciel de piratage russe passe presque inaperçu

Le groupe de pirates informatiques d'élite russe Cozy Bear, également connu sous le nom d'APT29, serait à l'origine du logiciel malveillant découvert en mai.capture d'écran: Crowdstrike

Ce logiciel de piratage russe attaque en envoyant un CV et passe presque inaperçu

Un article de

Un nouveau programme malveillant presque introuvable est apparemment lié à un groupe de pirates russes. C'est ce que rapporte le magazine informatique The Register, en se basant sur des informations fournies par les chercheurs en sécurité américains d'Unit 42.

Le logiciel est la preuve que le groupe Cozy Bear (APT29), soutenu par la Russie, a trouvé de nouveaux moyens de «perpétrer ses méfaits», peut-on lire.

Le logiciel malveillant attaque à l'aide d'un CV

Selon The Register, le programme n'aurait pas été détecté par 56 logiciels antivirus connus. L'équipe à l'origine de l'outil appelé Brute Ratel (BRC4), avec lequel le malware a été créé, affirme même avoir analysé le logiciel antivirus par ce que l'on appelle le «reverse engineering». Avec pour objectif de rendre les programmes malveillants comme ce logiciel en question plus difficile à détecter qu'auparavant.

Selon les chercheurs en sécurité de la Threat Intelligence Team Unit 42 (Palo Alto Networks), le logiciel pirate est déguisé sous forme de CV d'un homme nommé Roshan Bandara.

Le fichier n'est toutefois pas partagé au format Word, mais avec l'extension «iso». Il s'agit d'un fichier image avec lequel l'ordinateur ajoute un lecteur lorsqu'on clique dessus. L'utilisateur reconnaîtrait sur le lecteur créé un fichier nommé «Roshan-Bandara_CV_Dialog».

Un double-clic sur le fichier ouvre ensuite l'invite de commande Windows «CMD.EXE» et exécute le «OneDrive Updater». Celui-ci télécharge alors le logiciel malveillant BRC4 depuis Internet et l'installe sur l'ordinateur de la victime.

Qui se cache derrière tout ça?

Le mode opératoire du logiciel malveillant rappelle fortement aux équipes d'Unit 42 le groupe de pirates Cozy Bear, soutenu par la Russie, écrit The Register. Celui-ci avait toujours caché des logiciels malveillants derrière des fichiers «iso». En outre, le fichier actuel aurait été créé le jour même de la publication d'une nouvelle version de BRC4.

Cozy Bear avait notamment été soupçonné d'avoir volé des données précieuses, entre autres, à des organisations actives dans la recherche et le développement de vaccins pendant la pandémie de Covid-19. Par ailleurs, les pirates auraient eu accès aux systèmes de messagerie du Département d'Etat américain et de la Maison-Blanche pendant le mandat de Barack Obama.

(dsc/t-online)

Traduit et adapté de l'allemand par sia.