Les pirates se sont retournés contre eux-mêmes selon une campagne de logiciels malveillants récemment découverte qui suggère qu'ils sont devenus la cible d'autres pirates qui ont commencé à reconditionner des outils de piratage populaires avec des logiciels malveillants.
La campagne pluriannuelle a été découverte pour la première fois par le vice-président de la stratégie de sécurité et chercheur principal chez Cybereason, Amit Serper, qui a découvert que les pirates avaient commencé à modifier les outils de piratage existants en leur injectant un puissant cheval de Troie d'accès à distance. Lorsque ces outils modifiés sont ouverts, ils donnent aux pirates un accès complet à l'ordinateur de la cible.
Selon Serper, les attaquants ont facilité la diffusion de leurs outils reconditionnés en les publiant sur des sites forums de piratage.
Cependant, ces outils reconditionnés permettent non seulement aux pirates d'accéder à l'ordinateur d'une cible, mais ils ouvrent également une porte dérobée à leurs systèmes qui permet aux attaquants d'utiliser n'importe quel autre ordinateur ou réseau qu'ils ont déjà violé.
Sommaire
njRat trojan
Au cours de son enquête sur la campagne, Serper a découvert que les pirates informatiques derrière ces attaques injectaient et reconditionnaient des outils de piratage avec le cheval de Troie njRat. Ce cheval de Troie donne à l'attaquant un accès complet au bureau d'une cible ainsi qu'à ses fichiers, ses webcams de mots de passe et ses microphones.
njRat existe depuis 2013 et il a été fréquemment utilisé contre des cibles au Moyen-Orient. Il se propage souvent par le biais d'e-mails de phishing et de lecteurs flash infectés, mais récemment, des pirates ont commencé à injecter le malware sur des sites Web dormants ou non sécurisés pour éviter d'être détectés.
Les pirates utilisent à nouveau cette technique pour diffuser njRat et, selon Serper, ils ont compromis plusieurs sites Web pour héberger des centaines d'échantillons de logiciels malveillants njRat. Dans un article de blog, il a fourni plus de détails sur cette dernière campagne et son enquête sur l'affaire, en disant:
«Cette enquête a révélé près de 1 000 échantillons de njRat compilés et construits presque quotidiennement. Il est prudent de supposer que de nombreuses personnes ont été infectées par cette campagne (bien que pour le moment nous ne puissions pas savoir exactement combien). Cette campagne donne finalement aux acteurs de la menace un accès complet à la machine cible, afin qu'ils puissent l'utiliser pour tout, de la conduite d'attaques DDoS au vol de données sensibles sur la machine. Il est clair que les acteurs de la menace derrière cette campagne utilisent plusieurs serveurs, dont certains semblent être des blogs WordPress piratés. D'autres semblent être l'infrastructure appartenant au groupe de menaces, à en juger par plusieurs noms d'hôtes, données DNS, etc. »
Comme cette campagne existe déjà depuis des années, elle continuera probablement de le faire tout en donnant aux pirates un avant-goût de leur propre médicament.
Via TechCrunch
