Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

Kaspersky a découvert un spyware actif sous Windows et OS X depuis plus de cinq ans

Kaspersky, un éditeur de logiciels de sécurité, a annoncé avoir découvert un nouveau logiciel espion, dont il considère que la complexité en fait l'un des malware les plus avancés découvert jusqu'à présent.

Baptisé The Mask (ou Careto), il a été identifié sur des machines Windows et OS X, qu'il peut infecter via différents vecteurs (par exemple via une faille Flash ou encore sous forme de cheval de Troie). Une fois infectée, la machine se connecte régulièrement à différents serveurs de commande pour recevoir des ordres et pour y uploader des fichiers collectés sur la machine hôte (notamment des fichiers Office, des e-mails, des clés SSH...). Ces serveurs de commande sont aujourd'hui tous inactifs et Kaspersky a réussi à prendre le contrôle de certains d'entre eux pour faire différentes statistiques sur les appareils infectés, en analysant les connexions à ce serveur.

Une analyse qui a permis à Kaspersky de constater que l'attaque est de faible ampleur (380 victimes identifiées, ce qui peut expliquer que ce malware ait pu rester discret pendant si longtemps) et très ciblée géographiquement (Maroc, Brésil, Angleterre, Espagne et France constituent le top 5 des pays), mais aussi sur la nature des cibles, principalement des institutions gouvernementales, des ambassades, des entreprises du secteur de l'énergie et des laboratoires de recherche. Ces spécificités font penser à Kaspersky qu'il s'agit là d'un malware contrôlé par un organisme gouvernemental, d'autant plus que l'équipe qui le gère est particulièrement bien organisée.

Les logs de ces serveurs de commandes font également penser à Kaspersky que des victimes ont été infectées sur des appareils iOS (un log contient le User-Agent de la version iPad de Safari, mais il pourrait éventuellement s'agir d'un navigateur d'un autre OS configuré avec cet User-Agent) et Android (une version du malware est identifié "AND1.0.0.0").

Notons pour l'anecdote que Kaspersky a découvert ce malware en analysant les tentatives d'exploitation d'une faille touchant un produit Kaspersky. Le malware exploitait en effet cette faille, corrigée depuis cinq ans, pour se rendre invisible aux yeux du logiciel de protection.

Sondage

Comptez-vous acheter un Vision Pro ?