Des pirates liés à la Corée du Nord ont visiblement décidé d’empirer le niveau de cybermenaces mondial en lançant une nouvelle campagne malveillante qui cible plusieurs industries en Europe et aux Etats-Unis. Pour mener leur attaque, les pirates utilisent une version modifiée du backdoor Dtrack.
Selon Kaspersky, “Dtrack permet aux criminels de téléverser, télécharger, lancer des programmes ou supprimer des fichiers sur la machine de la victime”. Outre l’Europe les chercheurs constateraient une expansion de l’activité des pirates nord-coréens dans plusieurs pays d’Amérique latine.
La Corée du Nord fait monter le niveau de cybermenaces mondial d’un cran
Dtrack a été pour la première fois découvert en septembre 2019. Il serait le fruit du travail du groupe Andariel, lié à Lazarus – que l’on sait être lié au gouvernement nord-coréen. Un des faits d’armes de ces pirates est d’avoir réussi à infecter une centrale nucléaire en Inde. On a également vu le malware infecter des machine dans le cadre d’attaques par ransomware.
Selon les chercheurs, Dtrack a été entre-temps habilement modifier pour passer sous le radar des antivirus les plus basiques. L’implant cache sa présence dans des programmes a priori légitimes et utilise trois niveaux de chiffrements et de dissimulation qui le rendent très difficile à analyser. Parmi les fichiers dont ils peut prendre les traits, deux noms reviennent, NvContainer.exe et XColorHexagonCtrlTest.exe.
Une fois le programme déclenché, il injecte le payload final dans explorer.exe qui gère la navigation entre les dossiers et l’affichage du contenu de ces derniers dans Windows. Kaspersky note que le programme est désormais également doté d’un keylogger et d’outils pour réaliser des captures d’écran et aspirer les données système de la victime. Des modifications qui sont la preuve, pour Kaspersky que “Lazarus voit toujours Dtrack comme un vecteur d’attaques important”.
Contrairement à d’autres attaques de masse en provenance de la Corée du Nord, il semble toutefois que cette nouvelle campagne est nettement plus ciblée. Les secteurs qui semblent prioritairement visés par les pirates sont l’éducation, l’industrie chimique, les centres de recherche gouvernementaux, think thank, infrastructure informatique, distributeurs d’énergie et opérateurs de télécommunication.
Mais il est possible que des victimes collatérales se retrouvent avec ce virus en cliquant sur un lien ou en téléchargeant un fichier à risque. Heureusement, la menace ayant été caractérisée, la plupart des grands antivirus commerciaux sont capables de détecter et de supprimer Dtrack. C’est pourquoi il est recommandé d’acheter un antivirus Windows performant. On recommande en particulier sur la plateforme les suites Bitdefender ainsi que Norton 360 – selon nous les plus efficaces en 2022.
En savoir plus sur Bitdefender
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
