Dtrack : un logiciel espion, jusque-là inconnu, du groupe malveillant Lazarus frappe des établissements financiers et des centres de recherche

L’équipe GReAT (Global Research & Analysis Team) de Kaspersky a découvert un logiciel espion jusque-là inconnu, repéré dans des établissements financiers et centres de recherche en Inde. Ce spyware dénommé Dtrack, qui aurait été créé par le groupe malveillant Lazarus, sert au téléchargement de fichiers sur les systèmes des victimes, à l’enregistrement de frappes clavier ainsi qu’à d’autres actions typiques d’un malware d’administration à distance (RAT).

En 2018, des chercheurs de Kaspersky ont découvert ATMDtrack – un malware créé pour infiltrer des DAB en Inde et y dérober les informations de carte bancaire des clients. A suite d’une enquête complémentaire menée au moyen de Kaspersky Attribution Engine et d’autres outils, les chercheurs ont découvert plus de 180 nouveaux échantillons de malware qui présentaient des séquences de code similaires à ATMDtrack mais, clairement, sans cibler les DAB. Leur liste de fonctionnalités les définit plutôt comme des logiciels espions, désormais désignés sous le nom Dtrack. En outre, les deux souches possédaient des points communs non seulement entre elles mais aussi avec la campagne 2013 DarkSeoul, laquelle a été attribué à Lazarus, une menace persistante avancée (APT) responsable de multiples opérations de cyberespionnage et de cybersabotage.

Dtrack peut être utilisé comme outil d’administration à distance (RAT), permettant à des acteurs malveillants de prendre le contrôle total des équipements infectés. Les criminels peuvent alors exécuter différentes opérations, par exemple des téléchargements de fichiers et des processus essentiels.

Les entités ciblées par les acteurs malveillants exploitant le RAT Dtrack pâtissent souvent de la faiblesse de leur politique en matière de sécurité réseau et de mots de passe, tout en négligeant la surveillance du trafic au sein de leur organisation. Une fois implanté avec succès, le spyware est à même de recenser l’ensemble des fichiers présents et des processus en cours d’exécution, d’enregistrer les frappes clavier, l’historique des navigateurs et les adresses IP des hôtes, y compris des informations sur les réseaux disponibles et les connexions actives.

Le malware nouvellement découvert est actif et, d’après les données télémétriques de Kaspersky, il est encore utilisé dans des cyberattaques.

« Lazarus est un groupe plutôt inhabituel, financé par un Etat. D’un côté, à l’instar de nombreux autres groupes similaires, il se concentre sur des opérations de cyberespionnage ou de cybersabotage. Pourtant, d’un autre côté, il est également établi qu’il influence des attaques visant clairement à dérober de l’argent. Ce second aspect est assez exceptionnel pour un acteur malveillant d’un tel niveau car, généralement, les opérations des autres acteurs comparables n’ont pas de motivations financières. La grande quantité d’échantillons Dtrack que nous avons découverts démontre que Lazarus est l’un des groupes APT les plus actifs, développant et faisant évoluer constamment les menaces dans l’espoir de toucher des secteurs à grande échelle. Le succès de l’exécution du RAT Dtrack par ce groupe prouve que, même lorsqu’une menace semble avoir disparu, elle peut refaire surface sous une autre forme pour attaquer de nouvelles cibles. Même les centres de recherche et les établissements financiers opérant exclusivement dans le secteur commercial, sans lien avec les pouvoirs publics, doivent néanmoins envisager dans leur modèle de menaces le risque d’une attaque par un acteur malveillant sophistiqué et s’y préparer en conséquence », commente Konstantin Zykov, chercheur en sécurité au sein de l’équipe GReAT de Kaspersky.

Les produits Kaspersky détectent et bloquent avec succès le malware Dtrack.

Pour vous éviter d’être victime d’un malware tel que le RAT Dtrack, Kaspersky préconise les précautions suivantes :

  • Utilisez un logiciel de surveillance de trafic, tel que Kaspersky Anti Targeted Attack Platform (KATA).
  • Adoptez des solutions de sécurité éprouvées, intégrant des technologies de détection comportementale, telles que Kaspersky Endpoint Security for Business.
  • Procédez régulièrement à un audit de sécurité de votre infrastructure informatique.
  • Organisez régulièrement des formations à la sécurité pour votre personnel.

De plus amples informations sur le nouveau malware utilisé par le groupe Lazarus sont disponibles sur Securelist.

Morgane Palomo
Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?