L’éditeur Kaspersky vient de mettre à jour un nouveau malware baptisé CozyDuke qui s’adresse à des cibles très précises, la Maison-Blanche ou le Département d’Etat américain notamment.
Baptisé également CozyBear, CozyCar ou encore Office Monkeys, cozy Duke est une menace de type APT extrêmement précise, affirment Kurt Baumgartner et Costin Raiu de Kaspersky. L’éditeur russe indique avoir observé des attaques contre des organisations gouvernementales et des sociétés commerciales aux Etats-Unis, en Allemagne, en Corée du Sud et en Ouzbékistan. En 2014, les cibles ont également été la Maison-Blanche et le Département d’Etat. Les chercheurs précisent que l’opération présente plusieurs aspects très intéressants :
- Victimes & cibles dotés de profils très sensibles
- Capacités évoluées en matière d’anti-détection et de chiffrement
- Similarités fonctionnelles et structurelles avec d’autres malwares comme CosmicDuke et OnionDuket.
La technique principale d’infection consiste en un mail qui contient un lien vers un site Web préalablement piraté. Ledit site Web peut être un site très honorable mais qui a été corrompu. Les chercheurs de Kaspersky citent l’exemple de diplomacy.pl qui héberge une archive ZIP lequel contient un fichier SFX RAR qui installe le malware avant d’afficher un document PDF vide en leurre.
D’autres techniques consistent à envoyer un fichier vidéo (office monkey video LOL.zip ou .exe) par exemple, lequel affiche une vidéo de singes en costumes (d’où le titre) et installe le malware séparément.
Le malware est capable de détecter si les produits de sécurité suivants sont installés sur le poste : Crystal, Kaspersky, Sophos, DrWeb, Avira, Comodo Dragon. Notons également que les composants de cette attaque sont signés avec des certificats numériques bidons Intel ou AMD.
Le processus détaillé d’infection est expliqué à cette adresse.
Source : Mag Securs
Les commentaires sont fermés.