Une cyber-attaque visant le Pakistan décelée par ESET

Un malware sophistiqué et très discret

La cyber-attaque dont il est ici question fait usage d’un certificat de signatures dont le code aurait été délivré par une entreprise sans histoire et aurait conduit à la production de signatures binaires à caractère malveillant, assurant l’expansion du virus. C’est par le biais des emails que ce malware est ainsi propagé. Le certificat délivré par cette société Indienne aurait été élaborée en 2011.

Selon ESET, la cible principale de ce malware serait des personnalités de premier plan au Pakistan mais aussi des organismes dont le principal bénéficiaire serait l’armée indienne. Car l’un des documents PDF infecté permettrait à une archive de s’extraire automatiquement et porterait le nom évocateur de "pakistandefencetoindiantopmiltrysecreat.exe". Cette campagne de cyber-attaque aurait plutôt réussie pour ces initiateurs car ESET indique que le Pakistan aurait été gravement affecté car elle représenterait 79% des attaques détectées.

L’une des vulnérabilités parmi les plus utilisées est sans doute celle portant le nom CVE-2012-0158 très connue et utilisée des hackers. La vulnérabilité CVE-2012-0158 peut tout aussi être exploitée par des documents Microsoft de la suite Office exclusivement créés pour assurer l’exécution de code binaire. Ces documents sont transmis par mail avec un code malveillant qui se lande dès l’ouverture du document à l’insu de l’utilisateur qui ne se doute de rien. Un autre moyen d’infection de ce malware consisterait en l’usage de fichiers Windows se présentant sous la forme de fichiers Word et PDF dont la diffusion se fait par le biais des logiciels de messagerie. Pour tromper la vigilance de l’utilisateur, lors de l’exécution de ces documents, de faux documents s’ouvrent tandis que le malware s’exécute en tâche de fond.

Les hackers servis sur un plateau d'argent

Ce malware a réussi à récolter des informations d’une grande sensibilité sur de nombreux ordinateurs ayant été attaqués pour les renvoyer sur les serveurs appartenant aux hackers. Cette cyber-attaque a fait usage de nombreuses stratégies pour procéder au vol des données comme par exemple la technique dite de Keylogger qui permet de faire copies écrans et ensuite envoyer ces documents vers les serveurs du hacker. Le transfert de ces données entre l’ordinateur infecté et celui du hacker s’est fait sans le moindre cryptage de données ce qui est un fait rarissime lors des cyber-attaque de cette envergure, étant donné que le cryptage des données n’est pas difficile à mettre en place.

Ci-dessous retrouvez la liste des noms de ces malwares selon ESET qui indique qu’il s’agit bien d’une menace multi-parie et multi-vectorielle :

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD Trojan

Win32/Spy.Agent.OBF Trojan

Win32/Spy.Agent.OBV Trojan

Win32/Spy.KeyLogger.NZL Trojan

Win32/Spy.KeyLogger.NZN Trojan

Win32/Spy.VB.NOF Trojan

Win32/Spy.VB.NRP Trojan

Win32/TrojanDownloader.Agent.RNT Trojan

Win32/TrojanDownloader.Agent.RNV Trojan

Win32/TrojanDownloader.Agent.RNW Trojan

Win32/VB.NTC Trojan

Win32/VB.NVM Trojan

Win32/VB.NWB Trojan

Win32/VB.QPK Trojan

Win32/VB.QTV Trojan

Win32/VB.QTY Trojan

Win32/Spy.Agent.NVL Trojan

Win32/Spy.Agent.OAZ trojan