L’industrie automobile visée par le cheval de Troie FlawedAmmyyy

0
94

Les chercheurs de Proofpoint ont découvert un nouveau cheval de Troie d’accès à distance (RAT Remote Access Trojan) non documenté auparavant appelé FlawedAmmyyy.

Début 2016, ce cheval de Troie a été utilisé à la fois pour des attaques courriels hautement ciblées et dans des campagnes massives de phishing. Elles visaient notamment l’industrie automobile alors que d’autres grandes campagnes de spams semblaient être associées à l’acteur menaçant TA505, responsable de nombreuses attaques à grande échelle depuis 2014.

FlawedAmmyyy est apparu les 5 et 6 mars derniers dans des campagnes d’emailing massives. Les messages corrompus contenaient en pièces jointes des url zippés. Le contenu de ces messages et le modus operandi suggéraient qu’ils étaient l’œuvre de TA505, un acteur connu pour être à l’origine de campagnes Dridex, Locky et GlobeImposter de grande envergure ces quatre dernières années.

Ammyyy Admin est un outil d’accès à distance utilisé par les entreprises pour gérer le contrôle et le diagnostic à distance sur les machines Microsoft Windows. Cependant, le code source divulgué pour la version 3 d’Ammyy Admin s’est transformé en cheval de Troie d’accès à distance (RAT). Désormais appelé FlawedAmmyyy, il est apparu dans deux campagnes massives et a contaminé de nombreux ordinateurs. Il a permis d’obtenir un accès complet au PC des victimes et ainsi facilité l’accès à une variété de services et le vol de fichiers et d’informations d’identification.

Pour plus de détail sur FlawedAmmyyy, n’hésitez pas à consulter le Blog détaillé de l’équipe de recherche Proofpoint.