Le malware Dimnie a été découvert par l’équipe de chercheurs en sécurité de chez Palo Alto. Ce dernier ciblerait principalement les développeurs utilisant GitHub et serait passé inaperçu durant 4 ans.
Le but de cette e-menace reste flou aux yeux des chercheurs l’ayant découverte. On peut toutefois naturellement penser à une infection “à la source” des codes sources de multiples projets afin de viser les utilisateurs finaux par la suite… une cible de choix donc en quelque sorte que représentent ces développeurs actifs.
Des développeurs présents sur GitHub se plaignaient depuis fin janvier 2017 d’être victimes de cyberattaques basées sur un mystérieux cheval de Troie, provenant d’étranges e-mails suspects. C’est suite à cela que l’unité 42 de la firme Palo Alto a décidé de mener l’enquête, qui a récemment aboutie à la découverte du trojan Dimnie.
Pour infecter les développeurs, les attaquants se sont basé sur la bonne vieille méthode du spear phishing. Les e-mails contenaient une pièce jointe en ZIP qui elle-même, contenait une macro Word piégée qui exécutait silencieusement plusieurs commandes PowerShell afin de télécharger et installer le trojan Dimnie. Encore mieux, le malware a même été mis à jour entre temps, comme le rapporte Palo Alto dans son étude.
La menace est pourtant importante pour les machines infectées car Dimnie est un malware moderne et modulaire offrant de nombreuses possibilités telles que le keylogging, un module de capture d’écran, un autre d’extraction de données sensibles, une fonction permettant d’accéder aux processus exécutés sur une machine ou encore de détruire des environnements infectés. Bref, largement de quoi faire pour un pirate informatique ! Le tout est parfaitement camouflé au sein du système infecté et les antivirus n’y voient que du feu. Même l’exfiltration des données est très discret et difficilement détectable; et pour cause, le malware créer, d’après les chercheurs, une requête de type proxy HTTP vers un service Google à première vue légitime. Malin surtout que Dimnie est capable de déguiser le trafic illégitime sous forme de fausses requêtes DNS liées à des noms de domaine tout aussi faux ! Ajoutons à cela que les données exfiltrées sont chiffrées… et que tout se passe en mémoire afin de minimiser les traces sur les machines infectées.
Cette menace était tellement bien camouflée qu’elle a pu agir dans l’ombre durant 4 ans avant d’être découverte !