Nemucod, le cheval de Troie de type téléchargeur qui a été le plus
actif en 2016, refait surface à l’occasion d’une nouvelle campagne. Cette fois,
au lieu d’installer du ransomware
chez ses victimes, il s’amène avec une porte dérobée (“backdoor”) qui a
été identifiée par ESET comme étant le Win32/Kovter.
Nemucod a été utilisé lors de plusieurs campagnes de
grande envergure menées en 2016 et qui se sont accaparées une part de 24% de
toutes les détections de malware effectuées en date du 30 mars dernier. Pour
les attaques locales frappant certains pays, le taux de prévalence a largement
dépassé les 50% tout au long de l’année. Par le passé, ce que transportait
Nemucod se composait essentiellement de familles de ransomware généralement Locky ou TeslaCrypt, ce dernier n’étant désormais plus
utilisé. Dans le cadre de la
campagne toute récente détectée par les systèmes d’ESET, la cargaison de
Nemucod est une porte dérobée invitant à cliquer sur une
publicité, répondant au nom de Kovter.
Opérant comme une porte dérobée (“backdoor”),
ce cheval de Troie permet à l’intrus de prendre le contrôle de systèmes à
distance, sans le consentement de la victime ou sans qu’elle en ait connaissance.
La version analysée par les chercheurs d’ESET a été enrichie d’un potentiel
d’activation de publicité véhiculé par un navigateur intégré. Le cheval de
Troie peut activer jusqu’à 30 processus qui, chacun, procèdent à une visite de
site Internet et activent des clics sur publicités. Le nombre de processus peut
varier en fonction des commandes imaginées par l’assaillant mais peut également
être modifié automatiquement dans la mesure où Kovter surveille le niveau de
performances des ordinateurs. Si l’ordinateur est en mode veille, le maliciel
peut allouer davantage de ressources à ses activités jusqu’à ce que de
nouvelles activités de l’utilisateur soient détectées.
Comme de coutume avec Nemucod, la version actuelle qui
véhicule Kovter se répand sous la forme d’une pièce jointe ZIP associée à un
courriel, et qui est sensée être une facture. Elle contient en fait un fichier
JavaScript exécutable infecté. Si l’utilisateur tombe dans le piège et active
le fichier infecté Nemucod, ce dernier télécharge Kovter dans le système et
l’exécute.
Dans le cadre de cette campagne Nemucod, les experts en
sécurité d’ESET recommandent de s’en tenir aux règles générales de sécurité
Internet mais aussi de suivre les quelques conseils spécifiques suivants:
- si votre serveur ou votre
client de messagerie e-mail procure une fonction de
blocage des pièces jointes par type d’extension, il peut être souhaitable de
bloquer les mails qui sont envoyés, accompagnés de fichiers avec les extensions .EXE, *.BAT, *.CMD, *.SCR et *.JS.
- assurez-vous que votre système d’exploitation affiche les extensions de fichiers. Cela vous aidera à
identifier la nature exacte d’un fichier en cas d’usurpation par double
extension (exemple: “INVOICE.PDF.EXE” ne sera pas affiché comme “INVOICE.PDF”).
- si vous recevez de tels
fichiers de manière régulière et légitime, vérifiez l’identité de
l’expéditeur et, si vous détectez quoi que ce soit de suspect, effectuez un
scan du message et de ses pièces jointes à l’aide d’une solution de sécurité
fiable.
Pour plus d’informations au sujet de Nemucod, consultez l’article qui lui est dédié sur le blog d’ ESET, WeLiveSecurity.com