A la Une

Un groupe de cyberespionnage Chafer cible les ambassades avec un logiciel espion homebrew mis à jour

Le logiciel malveillant Remexi récemment découvert est capable d’exécuter des commandes à distance et de saisir des captures d’écran, les données du navigateur, y compris les informations d’identification de l’utilisateur, les données de connexion et l’historique, ainsi que tout texte tapé, entre autres.

Remexi a été détecté pour la première fois en 2015 et était utilisé par un groupe de cyberespionnage nommé Chafer pour une opération de cyber-surveillance.

Les chercheurs de Kaspersky Lab ont détecté de multiples tentatives d’infecter des logiciels espions chez les entités diplomatiques étrangères en Iran. Les attaques semblent utiliser une porte dérobée Remexi mise à jour. Plusieurs outils légitimes ont également été utilisés pendant la campagne. La porte dérobée de Remexi est liée à un groupe présumé de cyberespionnage parlant le persan, appelé Chafer, précédemment associé à la cyber-surveillance d’individus au Moyen-Orient. Le ciblage des ambassades pourrait suggérer un nouveau centre d’intérêt pour le groupe.

L’opération met en évidence la manière dont les acteurs de la menace des régions émergentes organisent des campagnes contre des cibles intéressantes en utilisant des logiciels malveillants homebrew relativement basiques associés à des outils accessibles au public. Dans ce cas, les attaquants ont utilisé une version améliorée de la porte dérobée (backdoor) Remexi, un outil qui permet d’administrer à distance la machine d’une victime.

Remexi a été détecté pour la première fois en 2015 et avait été utilisé par un groupe de cyberespionnage, Chafer, pour une opération de cyber-surveillance ciblant des individus et un certain nombre d’organisations du Moyen-Orient. Le fait que la porte dérobée utilisée dans la nouvelle campagne présente des similitudes de code avec les échantillons connus de Remexi, associés à l’ensemble des victimes cibles, signifie que les chercheurs de Kaspersky Lab l’ont liée à Chafer avec une confiance moyenne.

Le logiciel malveillant Remexi récemment découvert est capable d’exécuter des commandes à distance et de saisir des captures d’écran, les données du navigateur, y compris les informations d’identification de l’utilisateur, les données de connexion et l’historique, ainsi que tout texte tapé, entre autres. Les données volées sont exfiltrées à l’aide de l’application légitime BITS (Microsoft Background Intelligent Transfer Service), un composant Windows conçu pour permettre des mises à jour Windows en arrière-plan. La tendance à combiner les logiciels malveillants avec du code approprié ou légitime permet aux pirates d’économiser du temps et des ressources lors de la création de logiciels malveillants et de rendre l’attribution plus complexe.

«Lorsque nous parlons de campagnes de cyberespionnage sponsorisées par les États, les gens imaginent souvent des opérations avancées avec des outils complexes développés par des experts. Toutefois, les responsables de cette campagne de spyware ressemblent davantage à des administrateurs système qu’à des acteurs de menace sophistiqués: ils savent comment coder, mais leur campagne repose davantage sur une utilisation créative des outils existants, que sur de nouvelles fonctionnalités avancées ou une architecture élaborée du code. Cependant, même des outils relativement simples peuvent causer des dommages importants. Nous invitons donc les organisations à protéger leurs informations et systèmes précieux contre tous les niveaux de menaces et à utiliser les informations sur les menaces pour comprendre l’évolution du paysage », a déclaré Denis Legezo, chercheur en sécurité chez Kaspersky Lab.

Les produits de Kaspersky Lab détectent les logiciels malveillants Remexi mis à jour sous les noms Trojan.Win32.Remexi et Trojan.Win32.Agent.

Traduction : MIRASTNEWS

Source : DECCAN CHRONICLE

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :