Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    GovRAT : le malware déjouant la vigilance des antivirus refait surface en version 2
    GovRAT : le malware déjouant la vigilance des antivirus refait surface en version 2
    avec comme première cible les agences gouvernementales américaines

    En matière de cybersécurité, le tableau actuel qu’il nous est donné de voir est une course perpétuelle entre les experts en sécurité et les pirates informatiques. Alors que les personnes travaillant pour la sécurité informatique ne manquent pas de redoubler d’ardeur pour renforcer leurs dispositifs de sécurité, les personnes malveillantes de l’autre côté du rideau assurent une veille constante afin de parvenir à leurs fins.

    Il y a quelques jours de cela, l’entreprise de sécurité InfoArmor a alerté les acteurs du monde informatique sur la menace que représente le malware GovRAT. Comme son nom le suggère, GovRAT est un cheval de Troie utilisé pour espionner les infrastructures gouvernementales. La particularité de ce malware est qu’il est capable de déjouer la vigilance des outils usuels de sécurité tels que les antivirus.

    Pour y arriver, l’auteur de GovRAT nommé Best buy a intégré dans ce logiciel la possibilité de le signer avec des certificats numériques de sorte qu’il puisse se dissimuler dans le système sans être détecté comme un logiciel malicieux. Une fois qu’il s’introduit dans un système, il peut s’exécuter sans éveiller de soupçons en utilisant un processus authentique déjà connu.

    Il faut noter qu’en plus de cette fonctionnalité, GovRAT comporte plusieurs autres caractéristiques dont le chiffrement personnalisé pour les communications, un accès au serveur de commande et contrôle avec n’importe quel navigateur, la prise en charge SSL, la possibilité de le compiler pour les systèmes Windows et Linux, la possibilité d’exécuter des commandes à distance et de télécharger des fichiers ou les exécuter sur une cible donnée, des fonctionnalités de débogage avancées pour l rendre impossible à cracker et bien plus encore.

    GovRAT a été détecté pour la première fois par InfoArmor en novembre 2015 alors qu’il était encore vendu en version 1 sur le forum Hell et le marché noir TheRealDeal. Après la diffusion des informations obtenues sur GovRAT par InfoArmor, l’auteur du malware qui se faisait appeler Best buy a commencé à le vendre à partir d’un autre nom à savoir Popopret.

    Récemment, les investigations d’InfoArmor ont permis de détecter la présence d’une version 2 de GovRAT sur la toile avec de nouvelles fonctionnalités dont le support du domaine TOR, un module permettant d’espionner les mots de passe en texte clair, un module permettant d’infecter les clés USB, des fonctionnalités pour extraire les clés SSH, etc.

    Cette nouvelle version est vendue à des prix variant de 1 ;000 dollars à 6 ;000 dollars selon la disponibilité des modules ou du code source. Par ailleurs, en plus des différentes fonctionnalités avec lesquelles il est vendu, un autre acteur nommé POM, identifié comme le partenaire de Popopret, vend actuellement les identifiants de plus 33 ;000 personnes travaillant dans des organisations, gouvernements, l’armée et dont la plupart concernent ceux des institutions américaines. Selon InfoArmor, ces identifiants sont vendus afin d’être utilisés pour envoyer des spams ou pour distribuer le logiciel vérolé comme fichier joint.

    Dans sa version 1, GovRAT a été identifié dans les attaques de 15 gouvernements, 7 institutions financières, plus de 30 sous-traitants travaillant dans la défense et des attaques de plus de 100 grandes entreprises.

    Dans sa version 2, les attaques sont beaucoup plus dirigées vers les agences gouvernementales, la recherche scientifique et les entreprises technologiques comparativement aux données recensées concernant les attaques effectuées avec la version 1 de GovRAT.

    Source : InfoArmor

    Et vous ?

    Que vous inspire ce malware ?

    Voir aussi

    Des chercheurs découvrent le malware Project Sauron qui a espionné des institutions gouvernementales pendant cinq ans sans se faire prendre
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Expert confirmé
    Ha l'espionnage politique et industriel que cette annonce suggère fait penser à une équipe soutenue par la Russie, mais après tout est question d'interprétation
    merci de me mettre des quand mes messages sont pertinent, et pour les pas contents voici mon service client pour eux

    [Projet en cours] Strategy(nom provisoire) - Advance wars like
    cordova-plugin-file-hash Plugin cordova servant à obtenir le hash d'un fichier

  3. #3
    Membre averti
    En tout cas je trouve que c'est vraiment pas cher ! Développer ce genre d'outil n'est pas à la portée du premier venu et 6000$ le programme complet avec les sources c'est pas élevé. Surtout quand on voit le forfait des SSII

  4. #4
    Membre éprouvé
    Il y a deux caractéristiques techniques vraiment difficile à obtenir, c'est d'usurper un process système via une signature numérique.
    Ensuite résister au reverse engineering via un debugging.
    Le reste n'a rien de vraiment compliqué.

  5. #5
    Membre expérimenté
    6000$
    Pour 6000 $ tu n'a très certainement pas les sources et surement un nombre d'installation limité...
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.