Dans la région Asie-Pacifique, un des groupes les plus spécialisés en menaces persistantes avancées (APT) se nomme Platinum. Kaspersky a découvert que ce groupe était récemment à l’origine d’une backdoor appelée Titanium – du nom d’un mot de passe d’une des archives auto-exécutables – qui est le résultat d’une séquence d’étapes de dépôt, téléchargement et installation d’un malware. A chaque étape, ce dernier se dissimule en imitant le comportement de logiciels courants (de cybersécurité, de pilotage audio, de création de DVD, etc.).
Le malware suit toujours le même modèle d’infection. En utilisant probablement des sites intranet locaux comme vecteur d’infection, les pirates doivent trouver un exploit capable d’exécuter du code en tant qu’utilisateur système. Un shellcode doit être ensuite injecté dans un processus pour télécharger un autre téléchargeur. Avec celui-ci, une archive SFX contenant un script d’installation de tâches Windows doit être téléchargé. « La caractéristique principale de cette archive est qu'elle contient le code exécutable cURL, compilé dans une DLL. Son but est d'installer la tâche Windows pour établir la persistance dans le système infecté », indique Kaspersky dans l'analyse publiée sur son site. Cette archive contient également un installateur du Trojan backdoor. Après avoir exécuté son script d’installation, un « loader » .dll doit être enregistré et permettre de prétendre que le malware est un logiciel lambda. Et seulement à ce moment-là, la backdoor peut-être installée.
Seul Windows est touché
À moins d'utiliser une solution de sécurité d'entreprise qui surveille les réseaux pour détecter les indicateurs comportementaux d'une attaque ciblée à l'échelle du système, il y a de fortes chances pour que Titanium arrive sur un système sans être détecté. Un porte-parole de Kaspersky a dit à nos confrères de Forbes que cette menace « infecte les systèmes avec n'importe quel OS Windows moderne » mais que les utilisateurs de Linux et de macOS sont en sécurité. Pour le moment, les chercheurs de Kaspersky ont constaté que le malware du groupe Platinum ne ciblait que trois pays d’Asie : l'Indonésie, la Malaisie et le Vietnam.
Commentaire