MENU
THEMES

Kaspersky Lab a détecté une nouvelle attaque massive du RAT Adwind

Publié le: 22/02/2017  |  Mis à jour le: 09/03/2017  |  Par: Guide informatique  
Kaspersky Lab a détecté une nouvelle attaque massive du RAT Adwind

Kaspersky Lab a détecté une nouvelle attaque massive du RAT Adwind. Ce backdoor multifonction a ainsi été utilisé contre plus de 1 500 entreprises dans au moins une centaine de pays. Divers secteurs d’activité ont été ciblés, notamment le commerce et la distribution (20,1 %), l’architecture et la construction (9,5 %), les transports et la logistique (5,5 %), l’assurance et les services juridiques (5 %) ou encore le conseil (5 %).

Mode opératoire

Les victimes d’Adwind reçoivent des e-mails envoyés au nom de HSBC Advising Service (domaine mail.hsbcnet.hsbc.com) et accompagnés d’un avis de paiement en pièce jointe. Les chercheurs de Kaspersky Lab ont pu retracer l’activité de ce domaine de messagerie jusqu’en 2013.

Les pièces jointes contiennent en réalité un échantillon de malware. Si le destinataire ouvre le fichier ZIP, qui renferme lui-même un fichier JAR, le malware s’auto-installe et tente de communiquer avec son serveur de commande et de contrôle. Cela permet aux auteurs de l’attaque de prendre pratiquement le contrôle total de l’ordinateur infecté et d’y dérober des informations confidentielles.

Pays ciblés

La répartition géographique des utilisateurs attaqués, enregistrés par Kaspersky Security Network (KSN) durant cette période, situe près de la moitié d’entre eux (plus de 40 %) dans les dix pays suivants :

D’après les chercheurs de Kaspersky Lab, étant donné qu’une forte proportion d’entreprises figure parmi les victimes, il se pourrait que les cybercriminels exploitent des listes de diffusion sectorielles pour cibler leurs attaques. Compte tenu du nombre d’incidents détectés, ceux-ci se sont focalisés sur l’ampleur et la portée des attaques plutôt que sur une technologie complexe.

Historique du malware RAT Adwind

En 2016, Kaspersky Lab signalait des attaques lancées au moyen du RAT (Remote Administration Tool : outil d’administration à distance) Adwind, un malware multiplateforme et multifonction également connu sous les noms AlienSpy, Frutas, Unrecom, Sockrat, JSocket et jRat, propagé par une même plateforme de type MaaS (Malware as a Service).

L’une des principales originalités du RAT Adwind par rapport à d’autres malwares « commerciaux » tient au fait qu’il est distribué ouvertement sous la forme d’un service payant, où le « client » acquitte une somme pour pouvoir utiliser le programme malveillant.

Selon les résultats de l’enquête menée entre 2013 et 2016, différentes versions du malware Adwind ont été utilisées dans des attaques contre au moins 443 000 particuliers, entreprises et organisations non commerciales à travers le monde.

Afin de vous protéger ainsi que votre entreprise contre cette menace, Kaspersky Lab vous encourage à limiter l’utilisation de Java dans des applications isolées qui ne peuvent fonctionner sans cette plateforme. A l’instar des opérations financières, les applications Java peuvent être isolées par la mise en œuvre de principes de sécurité maximale. Les solutions de Kaspersky Lab offrent un grand nombre de fonctions de contrôle des applications, permettant de définir des règles granulaires pour surveiller et vérifier l’utilisation de programmes spécifiques sur les postes de l’entreprise.

Source: Kaspersky Lab

Actualités dans la même thématique ...

Bodet Software, éditeur de solutions SIRH, améliore sa solution SaaS afin qu'elle réponde aux exigences ISO 27001.  Une offre ultra sécurisée  Après plusieurs mois de travail, la nouvelle infratructure Cloud répond désormais aux normes de ...

Réagir à cet article