Le dernier malware pourrait bientôt attaquer Linux, le système d’exploitation Mac
Selon le rapport, un logiciel malveillant de vol d’informations Windows récemment découvert lié à un groupe actif suivi comme AridViper, il a expliqué qu’il pourrait être utilisé pour infecter le système d’exploitation Linux et Mac.
Le cheval de Troie original nommé PyMICROPSIA par l’Unité 42 a été exposé lors de l’enquête sur l’activité AridViper qui a également suivi comme Desert Falcon et APT-C-23. Une organisation de cyberspies arabophones concentrant leurs attaques sur des cibles du Moyen-Orient depuis au moins 2011.
AridViper opère principalement depuis la Palestine, l’Égypte et la Turquie et la plupart des victimes compromises ont dépassé les 3000 en 2015 [PDF]; selon l’équipe mondiale de recherche et d’analyse.
Nouveaux vecteurs d’attaque lancés dans le code:
- PyMICROPSIA est un malware basé sur python qui cible spécifiquement le système d’exploitation Windows. Cybercriminel utilise pyInstaller généré par binaire. L’unité 42 a également découvert des extraits de code sur lesquels son inventeur travaille potentiellement à l’ajout de la prise en charge multiplateforme.
- Il est principalement conçu pour cibler le système d’exploitation Windows, mais le code contient des extraits intéressants vérifiant d’autres systèmes d’exploitation tels que «posix» ou «drawin» comme unité 42.
- Il peut avoir été introduit par les développeurs du malware lors de la copie de code à partir d’autres projets et pourrait très bien être supprimé dans la future version du PyMICROPSIA torjan.
Vol de données et livraison de charges utiles supplémentaires:
- L’unité 42 a déniché une longue liste de fonctionnalités tout en analysant les logiciels malveillants trouvés sur le système compromis et la charge utile ou le téléchargement à partir du serveur de commande et de contrôle des attaquants (C2) pendant qu’il s’agit du cheval de Troie PyMICROPSIA.
- La liste des capacités de vol d’informations et de contrôle comprend le vol de données, le contrôle des appareils et des fonctionnalités supplémentaires de distribution de la charge utile.
- PyMICROPSIA utilise les bibliothèques Python à des fins très diverses, allant du vol d’informations et de fichiers au processus Windows, au système de fichiers et à l’interaction du registre.
- La fonction d’enregistrement de frappe du cheval de Troie implémentée à l’aide de l’API d’état GetAsynckey, qui fait partie d’une seule charge utile qu’il télécharge à partir du serveur C2.
- Une charge utile téléchargée est également utilisée pour gagner en persistance en réduisant un raccourci .LNK dans le dossier de démarrage du système Windows compromis.