Ghoul a une centaine de grandes entreprises en ligne de mire
Kaspersky met en garde les sociétés et les entreprises d’ingénierie technique sur l’existence d’une nouvelle série d’attaques informatiques affectant les mails professionnels. En réalité, il s’agit d’une nouvelle campagne de phishing, s’appuyant sur de nouveaux kits de programmes malveillants destinés à voler des informations précieuses à leur victime. Plus de 130 organisations à travers le monde en sont concernées, y compris les entreprises françaises.
Des malwares qui interceptent les frappes clavier
Juin 2016, GREaAT ou Global Reasearch and Analysis Team, une branche formée d’experts en sécurité informatique chez Kaspersky Lab a été mise au courant de l’existence d’une nouvelle vague d’attaques ciblant les organisations et grandes entreprises. Figurant dans le cadre de l’opération Ghoul, ces attaques ont, comme outil d’infiltration, les mails, ou plus précisément les pièces jointes des mails. Tout a commencé quand l’agence a repéré des courriers électroniques de spearphishing accompagnés de pièces jointes infestées de malwares. Selon Kaspersky, la plupart de ces mails sont adressés aux hauts responsables et cadres moyens d’entreprises. Leurs auteurs prétendent être au service d’une banque des Emirates et les accompagnent d’une pièce jointe contenant un spyware hawkeye.
En vente sur les sites pirates, tel virus collecte les frappes claviers, les presses papiers d’outils de traitement de texte, les profils du serveur FTP, les id des services de messageries instantanées (Google Talk Platalk, etc.) ainsi que les comptes de navigateur. Il est aussi capable de relever les mots de passe des mails et plusieurs informations liées aux programmes installés sur les ordinateurs. Notamment ceux provenant de Microsft (office). Collectées à l’insu de l’utilisateur, les données sont expédiées vers les serveurs des pirates.
Bien connaître le malware pour s’en prévenir
Ghoul, ou goul, dans le folklore ancien, est un esprit malveillant qui se nourrit de chair d’enfant. Le terme est employé aujourd’hui pour qualifier une personne extrêmement matérialiste. Ce qui correspond parfaitement au profil de ceux qui sont derrière l’actuelle opération. Ils volent pour se faire de l’argent en vendant les propriétés intellectuelles, les identifiants et données sensibles des entreprises aux Darkweb. Contrairement aux autres pirates, ces personnes ne choisissent pas leurs cibles. Si les grandes entreprises restent pour eux des cibles de choix, ils peuvent aussi s’en prendre aux PME. Bien que leur outil d’assaut soit très simple, plusieurs en sont déjà victimes. Principalement, celles qui n’en sont pas encore au courant.
Afin d’éviter d’être victime de l’opération Ghoul, l’expert Kapsersky invite les entreprises à informer les personnels sur les modes d’attaque, les genres d’e-mails et les pièces jointes de type spear-phishingGhoul. Les solutions de protection antivirus professionnelles sont également recommandées. Particulièrement, celles capables de détecter les anomalies réseau et d’empêcher les attaques ciblées. Il faut aussi fournir au responsable de sécurité un accès sur les rapports de veille envoyés par les logiciels de surveillance. Ceci lui permettra de mesurer le degré de vulnérabilité de l’entreprise, de connaître les attaques ciblées dont l’organisation a été victime et de prendre les mesures nécessaires. Les produits Kaspersky ont détecté ces virus de spear-phishing sous le nom de trojan.MSIL.ShopBot.ww, ou trojan.Win32.Fsysna.dfah ou encore trojan.Win32.Generic.