La nouvelle génération de logiciel espion MiniDuke harcèle la Belgique

Le logiciel malveillant MiniDuke modifie son champ d’activité. Au lieu de se concentrer sur un espionnage militaire, une nouvelle génération de cet outil cybercriminel met en place le vol de données plus générales, surtout sur les jours ouvrables. La Belgique est un des neuf pays visés. Kaspersky Lab a déjà exposé la première génération du logiciel malveillant MiniDuke au début de l’année dernière. Une étude complète a analysé cette menace cyber silencieuse, appelée Advanced Persistent Threat (APT). Par la suite, les attaques de cet outil cybercriminel sont réduites ou même arrêtées. Cependant, au début de cette année, l’activité malveillante de MiniDuke a repris de plus belle. De plus, l’ « ancien » logiciel malveillant est toujours en activité, mais il s’agit ainsi d’une nouvelle génération.

2014-07-07Comment 156790243

CosmicDuke

Pour la dernière génération, le code avancé de l’originale a été adapté et combiné avec un autre morceau de logiciel malveillant : Cosmu. Les scientifiques du fournisseur de sécurité finnois F-Secure éclairent les détails techniques de la dernière variante de MiniDuke, qui porte le nom CosmicDuke, plus tôt cette semaine dans un blogpost. Désormais, Kaspersky Lab peut ajouter à ces informations quelques résultats importants.

Fausse Proposition d’affaires

L’analyse des experts de Kaspersky a montré que les pouvoirs publics restent une cible intéressante pour les cybercriminels, mais les entreprises privées également. Par le passé, les Pays-Bas ont été un des pays les plus touchés par le logiciel malveillant Dorifel qui a révélé le botnet Pobelka pour voler environ 750 gigabyte de données appartenant aux communes et aux entreprises. Le nouveau logiciel malveillant CosmicDuke est encore plus performant. La génération précédente du logiciel malveillant MiniDuke parvenait à infiltrer les pouvoirs publics et à voler des informations ; la nouvelle génération vise en plus les entreprises privées. Ceci peut se traduire par l’usage d’une fausse proposition d’affaire sous la forme d’un document qui en fait porte la première partie du logiciel malveillant. Le fournisseur de sécurité Eset considère le fichier Proposal-Cover-Sheet-English.rtf utilisé pour cette fausse proposition comme plutôt ennuyeux comparé aux messages à teinte politique qui étaient utilisés avec les attaques de l’année dernière.

Une catégorie frappante parmi les nouvelles cibles : les particuliers qui semblent impliqués dans le trafic des produits illégaux et réglementés, comme stéroïdes et hormones. Jusqu’à présent, ces cibles n’ont été détectées par Kaspersky Lab qu’en Russie.

Plus surdoué

L’usage de l’outil des pirates de MiniDuke/CosmicDuke a montré qu’ils sont actifs surtout les jours ouvrables, la plupart des activités ont lieu entre 6h00 du matin et 16h00 l’après-midi. Les experts de Kaspersky Lab ont aussi découvert que la nouvelle génération de ce logiciel malveillant n’inclut plus de code complexe technique (écrit en assembleur). Il a été remplacé par du code écrit en langages informatiques normaux (C/C++). On est donc tenté de croire que les pirates ne sont plus uniquement les créateurs originels de MiniDuke surdoués techniquement, mais également de simples utilisateurs de cet outil malveillant.

Lire le communiqué de presse complet en ligne.

Pour plus d’informations, lire le blogpost sur Securelist.com.