Bien souvent les pirates tentent d’exploiter les actualités afin de pousser les internautes à exécuter des programmes malveillants. Le laboratoire de recherche des menaces sur Internet de Blue Coat surveille ces activités.
Le dernier cas recensé fait état d’un logiciel malveillant (malware) redoutable (hash md5 3c5266cab10c78f3a49985806c217a
Le code malicieux en question est le tristement célèbre DarkComet RAT (aka Fynloski), un outil de prise de contrôle à distance des ordinateurs, disponible gratuitement, et qui peut également se doubler d’un cheval de Troie qui crée une porte d’accès à l’ordinateur pour le pirate (backdoor). DarkComet a été initialement développé par le pirate français DarkCoderSc, qui a arrêté son développement en 2012.Néanmoins, sa facilité d’utilisation et la richesse de ses fonctionnalités l’ont rendu populaire auprès de de nombreux types d’attaquants – des créateurs de scripts très simples et des activistes jusqu’aux acteurs beaucoup plus sinistres.
La variante utilisée dans cette attaque est camouflée pour la rendre plus difficilement détectable par les scanners des antivirus. Le virus DarkComet Delphi est contenu dans un emballage de .NET, ce qui rendles éléments d’identification de DarkComet difficiles à repérer. En effet, au moment de la rédaction de ce texte, le taux de détection de cet exécutable par les antivirus est très faible – seulement 2 antivirus sur les 53 disponibles sur le service de scanner en ligne VirusTotal le détectent.
Néanmoins, le moteur de détection de Blue Coat, le Malware Analysis, détecte des activités dangereuses à l’intérieur de cet enveloppe.
Comme vous pouvez le voir ci-dessus, l’échantillon crée une copie de lui-même sous le nom svchost.exeet lance une image d’un nouveau-né avec une bande portant le slogan « Je suis Charlie« . Cette imagesemble avoir été récoltée à partir de sources publiques.
L’échantillon affiche également un message en français pour tromper l’utilisateur et lui faire croire que le code a été créé par une version précédente de MovieMaker :
L’adresse actuelle du domaine qui héberge le centre de commande de ce virus renvoie sur une adresse IP chez le fournisseur d’accès Internet Orange. L’adresse IP française et le message d’erreur en françaisrenforce l’impression que ce virus cible les utilisateurs français. Blue Coat a informé les autorités françaises de la découverte de ce malware.
Il n’y a vraiment rien de sacré pour les pirates.
Blue Coat maintient la surveillance autour de ce logiciel malveillant et recommande d’être vigilant vis-à-vis des fichiers reprenant des actualités issues des grands medias, car ils peuvent contenir des logiciels malveillants.