Des chercheurs ont découvert un nouvel échantillon de malware capable de se cacher de plus de 50 antivirus (s’ouvre dans un nouvel onglet) produits actuellement disponibles sur le marché.
Le logiciel malveillant a été découvert par des chercheurs en cybersécurité de l’unité 42, l’équipe de renseignement sur les menaces de Palo Alto Networks. L’équipe a repéré la souche pour la première fois en mai, lorsqu’elle a découvert qu’elle avait été construite à l’aide de l’outil Brute Ratel (BRC4).
Les développeurs de BRC4 affirment avoir même rétro-conçu des produits antivirus populaires, pour s’assurer que leur outil évite la détection.
La qualité de la conception et la vitesse à laquelle elle a été distribuée entre les terminaux des victimes ont convaincu les chercheurs qu’un acteur parrainé par l’État est derrière la campagne.
Méthodes russes
Bien que l’outil lui-même soit dangereux, les chercheurs étaient plus intéressés par son chemin de distribution, ce qui indique qu’un acteur parrainé par l’État est en jeu.
Le logiciel malveillant est distribué sous la forme d’un faux document CV. Le CV est un fichier ISO qui, une fois monté sur un lecteur virtuel, affiche quelque chose qui ressemble à un document Microsoft Word.
Bien que les chercheurs ne puissent toujours pas identifier exactement qui est l’acteur de la menace derrière BRC4, ils soupçonnent APT29 (AKA Cozy Bear), basé en Russie, qui a utilisé des ISO militarisés dans le passé.
Un autre indice suggérant qu’un acteur parrainé par l’État est en jeu est la vitesse à laquelle BRC4 a été exploité. L’ISO a été créée le jour même de la publication de la dernière version de BRC4.
« L’analyse des deux échantillons décrits dans ce blog, ainsi que l’artisanat avancé utilisé pour conditionner ces charges utiles, montrent clairement que les cyber-acteurs malveillants ont commencé à adopter cette capacité », a écrit l’Unité 42 dans un article de blog.
« Nous pensons qu’il est impératif que tous les fournisseurs de sécurité créent des protections pour détecter BRC4 et que toutes les organisations prennent des mesures proactives pour se défendre contre cet outil. »
Via : Le Registre (s’ouvre dans un nouvel onglet)