Close Menu
    Le meilleur de la POP culture

    Des cybercriminels chinois propageraient des virus par USB

    Nick OlaizolaPar 3 MinutesAucun commentaireMis à jour le

    Des experts de la société américaine de cybersécurité Mandiant ont intercepté des attaques de nouvelles générations. Les cybercriminels semblent viser essentiellement des terminaux basés dans des pays spécifiques.

    Des cybercriminels chinois propagent des virus par des périphériques USB

    Le cluster, connu sous l’appellation UNC4191, s’appuie sur les supports USB pour induire des charges utiles sur les systèmes ciblés. Sur la base des données collectées, les experts ont déduit que les attaques proviendraient de Chine.

    Un espionnage à dessein politique ?

    Une fois que les malwares ont été installés sur le système hôte, un chêne de processus est déclenché et des mécanismes de propagations sont amorcés. Les virus s’attaquent aux ports USB des périphériques infectés pour propager les logiciels malveillants. Les données provenant de l’enquête indiquent qu’il pourrait s’agir d’un espionnage à buts purement politiques. D’après les membres de Mandiant, la campagne d’UNC4191 remonte à l’an dernier.

    Les recherches ont été dirigées par Tommy Dacanay, analyste principal en sécurité et détection de menaces chez Google Cloud, a été l’un des auteurs de la prése’nte recherche.

    Un cybercriminel

    Une stratégie basée sur l’infection des lecteurs USB

    Les cybercriminels se sont basés sur trois nouvelles familles de logiciels malveillants baptisées MISTCLOAK, DARKDEW, BLUEHAZE et Ncat. Le dernier est un utilitaire de réseau en ligne de commande dont le rôle est d’ouvrir un shell inverse sur le système cible.

    MISTCLOAK, le programme d’infection initial, est activé lorsqu’un utilisateur connecte un périphérique amovible compromis à un système. Ce logiciel prépare le terrain pour le malware crypté nommé DARKDEW. Ce dernier sert à infecter les lecteurs amovibles, proliférant efficacement les infections. Celui-ci lance également un autre exécutable (« DateCheck.exe »).

    En fait, il s’agit de la version renommée d’une application légitime connue sous le nom Razer Chromium Render Process qui mène au malware BLUEHAZE. Celui-ci est un lanceur codé avec les langages C/C++ qui fait évoluer le processus d’infection en initiant une copie de Ncat pour créer un shell inverse.

    Un membre de Lapsus$ semble extrêmement doué.

    « Le malware s’autoréplique en s’attaquant aux lecteurs amovibles qui sont branchés sur un système infecté. Ce mécanisme favorise la propagation des charges utiles malveillantes dans des systèmes supplémentaires. »

    Les chercheurs de Mandiant

    UNC4191 s’attaque aux entités d’Asie jusqu’aux États-Unis

    D’après les membres de Mandiant, des preuves indexant des acteurs chinois ont été mises au jour. Les études de décryptage révèlent également que les entités exposées aux attaques sont des secteurs publics et privés localisés en Asie du Sud-Est et aux États-Unis.

    D’ailleurs, les chercheurs ont déduit que la campagne UNC4191 remonte potentiellement à septembre 2021. D’autres informations ont révélé que les espionnages ont également sévi aux Philippines.

    « Cette activité met en valeur les opérations chinoises visant des entités publiques et privées pour des intérêts politiques et commerciaux de la Chine. »

    Les chercheurs de Mandiant
    4.5/5 - (2 votes)

    BuzzWebzine est un média indépendant. Soutiens-nous en nous ajoutant à tes favoris sur Google Actualités :

    Suis-nous sur Google ⭐➡️
    Tech & Geek
    Partager
    Nick Olaizola

    News, astuces et bonnes pratiques, je vous partage ce qui me passionne en essayant de répondre au mieux à vos questions.

    Articles similaires

    Laisser une réponse