Les nouveaux malware : des outils dotés d’une certaine intelligence

Standard

Les nouveaux types de malware sont de mieux en mieux codés et avancés technologiquement. Plusieurs d’entre-eux s’attaquent aux terminaux de point de vente (Jackpos et autres) et volent les données des cartes de crédit, d’autres sont transmis par voie de courriels ayant l’apparence d’entreprises connues. Ces nouveaux fchiers malveillants sont maintenant répertoriés comme  des APT (Advanced Persistent Threat : menace avancée persistante). Ce qui nous à surpris,aujourd’hui, c’est qu’une autre famille de malware est transmis par la voie d’un courriel d’information vers les internautes New Yorkais membres du site internet NYC.gov. Ce courriel informe les membres qu’un suspect d’homicide est apparemment en liberté et peut-être à l’affût d’une nouvelle victime.

homicide-resized-600

homicide2-resized-600

La peur est utilisée comme une arme

En ingénierie sociale, les pirates informatiques usurpent l’identité d’employés internes à une société pour soustraire de l’information sensible d’une entreprise (identité réelle ou numérique). Dans le même registre, les pirates, dans ce cas précis  utilisent la peur comme vecteur d’attaque.
Les internautes de NYC.gov ont reçu cette alerte par courriel. Il contient un fichier compressé (homicide-case#098.zip contenant un écran de veille (.scr) et un fichier pdf portant le même nom censé informer l’internaute sur l’homme recherché pour homicide.Une fois que l’internaute clique sur le fichier, l’infection commence. Le malware cryptodefense se met à modifier explorer.exe,  la base de registre et installe des copies de lui-même dans certaines aires du système afin de ne pas être désinstallé voire d’être éradiqué par les solutions de sécurité classiques comme les anti-virus.
Seules de nouvelles solutions peuvent prévenir et éradiquer ce type de malware.

Ensuite, il commence la suppression de certains fichiers très importants et des éléments d’information dont la première étant d’éliminer l’ensemble des clichés instantanés de fichiers que l’utilisateur peut avoir sauvegardé. Elle le fait en utilisant Vssadmin.exe pour supprimer ces clichés. Les informations sont camouflées et aucune alerte par pop-up n’est affichée à l’écran ce qui ne permet pas de supprimer l’infection . Quelques millisecondes plus tard, il modifie également de nouveau les paramètres de Registre pour désactiver la restauration du système.Dans ce cas précis d’attaque, une connexion http est effectuée sur le port 80 vers l’adresse IP 199.127.225.232 qui est reliée au domaine babyslutsnil.com.

Que doivent faire les particuliers face à ce type de menace ?

Comme indiqué précédemment, seules les nouvelles solutions de sécurité incluant des outils de détection contre les nouvelles menaces peuvent protéger efficacement les machines. Mais, il est tout aussi important que les internautes soient sensibilisés à cette nouvelle forme de risque car savoir, c’est pouvoir mieux agir. Egalement, les entreprises qui hébergent leurs serveurs internet doivent être à même de contrôler l’information diffusée et de surveiller toute information contrefaite. Dans ce cas précis, c’est un organisme gouvernemental qui est victime…(pourtant, les organismes gouvernementaux ne sont-ils pas davantage protégés aux Etats-Unis ? Il est louable de se poser des questions). Donc, vous qui êtes internaute, sensibilisez-vous à la sécurité informatique afin que vous soyez à même d’agir face à ce genre de menace et ainsi, de surfer en toute tranquillité.

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s