La Russie déploie de nouveaux outils de piratage sophistiqués

[ad_1]

Des agences gouvernementales américaines et européennes soupçonnent que Sofacy est dirigé par l’agence de renseignement militaire russe. Les mêmes agences gouvernementales estiment que Sofacy serait à l’origine du piratage visant le Parti démocrate américain, survenu avant l’élection présidentielle de 2016.

La nouvelle attaque détectée par Palo Alto Networks utilise un stratagème connu, mais peu répandu.

Les pirates envoient d’abord un courriel en apparence normal et contenant un document Word en pièce jointe. Ce document ne comprend pas de logiciel malveillant, ce qui rend l’attaque à venir difficile à détecter pour les systèmes de sécurité.

Une fois ouvert, toutefois, le document Word démarre le téléchargement d’un modèle distant (remote template). Cette fonction tout à fait légitime de Microsoft Word est parfois utilisée par des entreprises pour permettre à leurs employés d’uniformiser l’apparence de leurs documents.

Des chevaux de Troie

Dans le cas de l’attaque de Sofacy, le modèle distant contient deux chevaux de Troie, des logiciels malveillants difficiles à détecter.

L’un d’eux, appelé Zebrocy, est bien connu des experts en cybersécurité, mais le deuxième, baptisé Cannon, est entièrement nouveau selon Palo Alto Networks.

Une fois installé, Cannon se connecte à un serveur de courriels en arrière-plan et commence à envoyer des captures d’écran à Sofacy. Grâce au canal de communication établi par Cannon, les pirates peuvent ensuite renvoyer des instructions vers l’ordinateur infecté et lui demander d’effectuer différentes actions, comme l’installation d’autres logiciels malveillants.

Le groupe russe pourrait donc s’emparer d’informations confidentielles, comme des mots de passe, des codes de chiffrement ou des fichiers gouvernementaux.

Pour le moment, il n’existe que deux façons de se protéger contre Cannon : garder son antivirus à jour et se méfier de tout courriel contenant un document Word.

[ad_2]

Source link

قالب وردپرس