Les escrocs aussi disent  “je suis Charlie” – Blue Coats labs : découverte d’un nouveau virus surfant sur le slogan « je suis Charlie”

privacy-policy-538720_640

Bien souvent les pirates tentent d’exploiter les actualités afin de pousser les internautes à exécuter des programmes malveillants. Le laboratoire de recherche des menaces sur Internet de Blue Coat surveille ces activités.

Le dernier cas recensé fait état d’un logiciel malveillant (malware) redoutable (hash md5 3c5266cab10c78f3a49985806c217a40) sur le thème «Je suis Charlie », un slogan qui s’est propagé de manière virale suite à l’attaque des bureaux de Charlie Hebdo à Paris le 7 Janvier 2015.

Le code malicieux en question est le tristement célèbre DarkComet RAT (aka Fynloski), un outil de prise de contrôle à distance des ordinateurs, disponible gratuitement, et qui peut également se doubler d’un cheval de Troie qui crée une porte d’accès à l’ordinateur pour le pirate (backdoor). DarkComet a été initialement développé par le pirate français DarkCoderSc, qui a arrêté son développement en 2012.Néanmoins, sa facilité d’utilisation et la richesse de ses fonctionnalités l’ont rendu populaire auprès de de nombreux types d’attaquants des créateurs de scripts très simples et des activistes jusqu’aux acteurs beaucoup plus sinistres.

La variante utilisée dans cette attaque est camouflée pour la rendre plus difficilement détectable par les scanners des antivirus. Le virus DarkComet Delphi est contenu dans un emballage de .NET, ce qui rendles éléments d’identification de DarkComet difficiles à repérer. En effet, au moment de la rédaction de ce texte, le taux de détection de cet exécutable par les antivirus est très faible – seulement 2 antivirus sur les 53 disponibles sur le service de scanner en ligne VirusTotal le détectent.

Néanmoins, le moteur de détection de Blue Coat, le Malware Analysis, détecte des activités dangereuses à l’intérieur de cet enveloppe.

 

Comme vous pouvez le voir ci-dessus, l’échantillon crée une copie de lui-même sous le nom svchost.exeet lance une image d’un nouveau-né avec une bande portant le slogan « Je suis Charlie« . Cette imagesemble avoir été récoltée à partir de sources publiques.

L’échantillon affiche également un message en français pour tromper l’utilisateur et lui faire croire que le code a été créé par une version précédente de MovieMaker :

L’adresse actuelle du domaine  qui héberge le centre de commande de ce virus renvoie sur une adresse IP chez le fournisseur d’accès Internet Orange. L’adresse IP française et le message d’erreur en françaisrenforce l’impression que ce virus cible les utilisateurs français. Blue Coat a informé les autorités françaises de la découverte de ce malware.

Il n’y a vraiment rien de sacré pour les pirates.

Blue Coat maintient la surveillance autour de ce logiciel malveillant et recommande d’être vigilant vis-à-vis des fichiers reprenant des actualités issues des grands medias, car ils peuvent contenir des logiciels malveillants.

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Les escrocs aussi disent  “je suis Charlie” – Blue Coats labs : découverte d’un nouveau virus surfant sur le slogan « je suis Charlie”

privacy-policy-538720_640 15th janvier, 2015

Bien souvent les pirates tentent d’exploiter les actualités afin de pousser les internautes à exécuter des programmes malveillants. Le laboratoire de recherche des menaces sur Internet de Blue Coat surveille ces activités.

Le dernier cas recensé fait état d’un logiciel malveillant (malware) redoutable (hash md5 3c5266cab10c78f3a49985806c217a40) sur le thème «Je suis Charlie », un slogan qui s’est propagé de manière virale suite à l’attaque des bureaux de Charlie Hebdo à Paris le 7 Janvier 2015.

Le code malicieux en question est le tristement célèbre DarkComet RAT (aka Fynloski), un outil de prise de contrôle à distance des ordinateurs, disponible gratuitement, et qui peut également se doubler d’un cheval de Troie qui crée une porte d’accès à l’ordinateur pour le pirate (backdoor). DarkComet a été initialement développé par le pirate français DarkCoderSc, qui a arrêté son développement en 2012.Néanmoins, sa facilité d’utilisation et la richesse de ses fonctionnalités l’ont rendu populaire auprès de de nombreux types d’attaquants des créateurs de scripts très simples et des activistes jusqu’aux acteurs beaucoup plus sinistres.

La variante utilisée dans cette attaque est camouflée pour la rendre plus difficilement détectable par les scanners des antivirus. Le virus DarkComet Delphi est contenu dans un emballage de .NET, ce qui rendles éléments d’identification de DarkComet difficiles à repérer. En effet, au moment de la rédaction de ce texte, le taux de détection de cet exécutable par les antivirus est très faible – seulement 2 antivirus sur les 53 disponibles sur le service de scanner en ligne VirusTotal le détectent.

Néanmoins, le moteur de détection de Blue Coat, le Malware Analysis, détecte des activités dangereuses à l’intérieur de cet enveloppe.

 

Comme vous pouvez le voir ci-dessus, l’échantillon crée une copie de lui-même sous le nom svchost.exeet lance une image d’un nouveau-né avec une bande portant le slogan « Je suis Charlie« . Cette imagesemble avoir été récoltée à partir de sources publiques.

L’échantillon affiche également un message en français pour tromper l’utilisateur et lui faire croire que le code a été créé par une version précédente de MovieMaker :

L’adresse actuelle du domaine  qui héberge le centre de commande de ce virus renvoie sur une adresse IP chez le fournisseur d’accès Internet Orange. L’adresse IP française et le message d’erreur en françaisrenforce l’impression que ce virus cible les utilisateurs français. Blue Coat a informé les autorités françaises de la découverte de ce malware.

Il n’y a vraiment rien de sacré pour les pirates.

Blue Coat maintient la surveillance autour de ce logiciel malveillant et recommande d’être vigilant vis-à-vis des fichiers reprenant des actualités issues des grands medias, car ils peuvent contenir des logiciels malveillants.

By
@coesteve1
backtotop