Risque d'infection virale avec le hashtag JeSuisCharlie

Publié le 20 Janvier 2015

Les cyberpirates profitent de l'actualité de Charlie Hebdo pour attirer les internautes à exécuter un programme malveillant.
Le laboratoire Blue Coat a découvert une variante du malware DarkComet RAT qui utilise le slogan JeSuisCharlie.
Attention si vous recevez un mail contenant une pièce jointe proposant des images, vidéos, diaporamas, etc… liés aux actualités...
Ou si on vous demande de cliquer sur un lien malveillant via Twitter ou Facebook en utilisant le hashtag #JeSuisCharlie.

Risque d'infection virale avec le hashtag JeSuisCharlie

Processus de contamination

Le code du malware crée une copie de lui-même sous le nom svchost.exe

Risque d'infection virale avec le hashtag JeSuisCharlie

Ensuite, il lance l'image d'un nouveau-né avec un bracelet de naissance marqué "Je suis Charlie"
Cette image semble avoir été récoltée à partir de sources publiques.

Risque d'infection virale avec le hashtag JeSuisCharlie

Puis il affiche un message en français pour tromper l'internaute et lui faire croire que le code a été créé par une version précédente de Windows MovieMaker.

Risque d'infection virale avec le hashtag JeSuisCharlie

L'adresse du domaine qui héberge le centre de commande de ce parasite renvoie sur une adresse IP chez le fournisseur d'accès Internet Orange.
L'adresse IP française et le message d'erreur en français renforcent l'impression que ce virus cible les internautes français.


La variante de DarkComet est redoutable

Les chercheurs de Blue Coat, laboratoire de recherche des menaces sur Internet, ont fait la découverte du programme malveillant DarkComet RAT (aka Fynloski)

Selon les experts en sécurité, les pirates informatiques pourraient utiliser un lien malveillant dans des tweets ou des messages sur Facebook, portant le hashtag #JeSuisCharlie. En cliquant sur ce lien, l'internaute téléchargerait le malware DarkComet.

Une fois installé sur l'ordinateur, le malware, permet la prise de contrôle à distance des ordinateurs, grâce à l'installation d'un cheval de Troie qui crée une porte d'accès à l'ordinateur de la victime (backdoor).

Cette variante est à redouter, car seulement 2 antivirus sur les 53 scanners en ligne du site VirusTotal le détectent.

Blue Coat a informé les autorités françaises de la découverte de ce malware.

Blue Coat maintient la surveillance autour de ce logiciel malveillant et recommande d'être vigilant vis-à-vis des fichiers reprenant des actualités issues des grands médias, car ils peuvent contenir des logiciels malveillants...

 Conseils Sécurités

     Conseils
   

 - Disposer d’un antivirus mis à jour
 - Mettre à jour les correctifs de sécurité  du système d'exploitation
 - Eviter de naviguer sur des sites inconnus ou peu recommandables
 - Méfiez-vous des mails reçus en provenance de personne inconnue
 - Ne cliquez pas sur n’importe quel lien hypertexte
 - Avant de partager un lien, vérifiez la source

Source : Blue Coat

Rédigé par Cybersecurite

Publié dans #Arnaques old

Repost 0
Commenter cet article

Henri 30/01/2015 16:11

Ce malware se propage très rapidement sans que l'on puisse savoir comment. Il faut toujours faire attention aux emails en provenance d'inconnus. Merci pour ces informations et ces screenshots qui permettent d'éviter la contamination.