Attention au cyber-passager aveugle
Lors d'une analyse du dangereux cheval de Troie bancaire "Lurk", Kaspersky Lab a découvert une méthode perfide permettant aux cybercriminels d'installer de manière ciblée des logiciels malveillants sur les ordinateurs des entreprises. Lors du téléchargement du logiciel d'administration à distance "Ammyy Admin", légitime et très apprécié des administrateurs système, le malware Lurk était livré et installé en secret.
Le gang Lurk a été arrêté en Russie en juin 2016. Les experts de Kaspersky Lab ont constaté que le cheval de Troie Lurk s'était infiltré lors du téléchargement de l'outil d'accès à distance Ammyy Admin, très apprécié des administrateurs informatiques. L'intention derrière cela : Bien que certaines solutions de sécurité informatique classent les outils accessibles à distance comme dangereux, les utilisateurs ou les administrateurs système ont tendance à ignorer le message d'avertissement correspondant, car ils partent du principe qu'il s'agit d'un faux positif. Ce qui est dangereux, c'est que dans le cas de Lurk, des logiciels malveillants sont chargés et installés sur un système sans que l'on s'en aperçoive, malgré le message d'avertissement.
"L'utilisation de logiciels légitimes est une technique très efficace pour diffuser des logiciels malveillants", explique Vasily Berdnikov, analyste de logiciels malveillants chez Kaspersky Lab. "Les cybercriminels font ainsi croire à l'utilisateur qu'il s'agit de logiciels légitimes et donc sûrs. Les personnes qui téléchargent et installent des logiciels d'un fournisseur connu ne pensent pas qu'un cyberpassager aveugle pourrait être présent. Les cybercriminels utilisent cette méthode pour faciliter l'accès à leurs cibles et augmenter le nombre de victimes".
Cibler la diffusion
Kaspersky Lab estime que le cheval de Troie Lurk a été diffusé depuis février 2016 via le site ammyy.com. Les pirates ont probablement exploité des failles dans le système de sécurité du site Web d'administration d'Ammyy et ont introduit le maliciel dans l'archive d'installation du programme d'accès à distance. Les exploitants du site Web ont été informés par Kaspersky Lab directement après la découverte ; la faille a ensuite été immédiatement corrigée.
En avril 2016, une autre version du cheval de Troie Lurk a été découverte sur le site Web d'Ammyy. Cette version légèrement modifiée du maliciel était capable de vérifier automatiquement si un ordinateur appartenait à un réseau d'entreprise. Le maliciel n'était livré que s'il s'agissait effectivement d'un ordinateur d'entreprise, c'est-à-dire de manière très ciblée.
Pour prévenir de tels cyber-risques, les prestataires de services informatiques devraient régulièrement contrôler leur organisation afin de détecter d'éventuelles failles, toujours en combinaison avec l'utilisation d'une solution de sécurité informatique.
Texte : Kaspersky Lab/essential media GmbH