rommma - Fotolia

Ukraine : un autre éditeur de logiciel comptable visé pour distribuer des maliciels

Son site Web a été utilisé à son insu pour diffuser une variante du cheval de Troie bancaire Zeus.

Au mois de juin dernier, c’est par une porte dérobée dans un logiciel comptable ukrainien qu’avait été diffusé le tristement célèbre NotPetya. Les infrastructures de son éditeur, MeDoc, très utilisé dans le pays, avaient été compromises en profondeur, jusque dans ses serveurs de mises à jour. Il s’avère que la pratique n’était pas isolée.

Les équipes de Talos, l’entité de Cisco spécialisée dans le renseignement sur les menaces, relatent ainsi qu’un autre éditeur local, Crystal Finance Millenium (CFM), a été utilisé à son insu, l’été dernier, pour distribuer une variant de Zeus.  

Comme le relèvent les chercheurs, les attaquants n’ont pas là réussi à s’inviter autant en profondeur dans le système d’information de l’éditeur. Ils ne semblent pas être allés plus loin que son serveur Web. Mais ils sont tout de même parvenus à utiliser celui-ci pour pousser un téléchargeur de code malveillant en JavaScript : « il utilise une matrice pour déterminer les emplacements de distribution à utiliser pour récupérer la charge malveillante ». L’un d’entre eux n’étant autre que le serveur Web de CFM. La charge malicieuse, quant à elle, est une variante du cheval de Troie bancaire Zeus. L’approche ne manque en soi pas de pertinence : viser des personnes ayant potentiellement accès aux comptes bancaires d’entreprises…

La variante de Zeus utilisée là était configurée pour communiquer avec des serveurs de commande et de contrôle sur trois domaines différents. Contre toute attente, l’un d’entre eux n’était pas déposé au moment des faits ; les équipes de Talos s’en sont chargé afin de pouvoir surveiller l’activité du logiciel malveillant en siphonnant une partie de ses communications.

C’est sans surprise l’Ukraine qui a été le plus affectée. Mais les équipes de Talos ont également relevé plusieurs centaines d’infections aux Etats-Unis, et d’autres – moins de 250 adresses IP uniques – en France, en Espagne, en Italie, en Allemagne ou encore au Royaume-Uni. 

Pour approfondir sur Menaces, Ransomwares, DDoS

Close