Karkoff

“Karkoff”: le nouveau “DNSpionage”

Le groupe responsable du fameux malware DNSpionage utilise maintenant une nouvelle variante du malware. Cette nouvelle variante se nomme Karkoff.

Découvert en Novembre l’année dernière, les attaques DNSpionage utilisaient des sites compromis et des documents malveillants pour infecter des PC avec le malware DNSpionage—un outil d’administration à distance qui utilise HTTP et DNS pour communiquer avec un serveur command and control (C&C) qui appartient au pirate.

Selon un nouveau rapport publié par l’équipe de recherche Talos de Cisco, le groupe utilise de nouvelles tactiques, techniques et procédures pour améliorer l’efficacité de leurs opérations, rendant leurs cyber-attaques plus ciblées, organisées et sophistiquées.

Contrairement aux campagnes précédentes, ils font maintenant un travaille de reconnaissance de leurs victimes avant de les infecter avec leur nouveau malware, nommé Karkoff. Cela leur permet de choisir soigneusement leurs cibles pour éviter de se faire détecter.

“Nous avons identifié des superpositions d’infrastructure dans DNSpionage et Karkoff,” ont déclaré les chercheurs.

Durant la phase de reconnaissance, les pirates rassemblent des informations de système liées à l’environnement de travail, le système d’exploitation, le domaine, et la liste de processus en cours sur la machine de la victime.

“Le malware cherche deux plateformes d’antivirus spécifiques: Avira et Avast. Si l’un de ces produits de sécurité est installé sur le système et identifié durant la phase de reconnaissance, un flag spécifique sera mis en place, et certaines options du fichier de configuration seront ignorées,” ont révélé les chercheurs.

Développé en .NET, Karkoff permet aux hackers d’exécuter du code arbitraire à distance sur les hôtes compromis en utilisant le serveur C&C.

Ce qui est intéressant c’est que le malware Karkoff génère un fichier log sur les systèmes, ce fichier contient une liste de toutes les commandes que le malware a exécuté avec un timestamp.

“Ce fichier log peut être utilisé pour créer une chronologie de l’exécution de commande, ce qui peut être très utile pour réagir à ce genre de menace,” ont expliqué les chercheurs.

“Une organisation compromise par ce malware pourrait passer en revue ce fichier log et identifier toutes les commandes qui ont été exécuté sur leurs machines.”

Tout comme la campagne DNSpionage, les attaques semblent cibler la région du Moyen-Orient, incluant le Liban et les Emirats Arabes Unis (UAE).

Comment se protéger de Karkoff?

En plus de désactiver les macros et d’utiliser un bon logiciel antivirus, vous devriez rester vigilant et informé pour éviter de devenir la victime d’une attaque de ce genre.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire