Faites attention à certains programmes malveillants qui passent de façon discrètes
La société spécialisée dans la sécurité informatique a publié un rapport récemment sur un groupe de pirate informatique utilisant une faille de sécurité Citrix Netscaler.
Cette vulnérabilité a été découverte exactement durant le mois de décembre dernier. Comme procédé majeur, ce groupe de pirates s’attelle d’abord à supprimer tout programme informatique installé par un autre groupe de hackers concurrents ou non concurrents. Le but est de débarrasser le terrain. Débarrasser le terrain pour mener ses propres actions.
Cet article va aussi vous intéresser : Plus de 1 milliard de programme malveillant bloqué par le Google Play Protect
Les faits remontent en décembre 2019. L’application Citrix application Delivery Controller était touché par une vulnérabilité jugée critique ainsi que Netscaler Gateway. La faille de sécurité a été immatriculé CVE-2019-19781. Elle permettait aux pirates informatiques de pouvoir exécuter à distance des codes malveillants sur les différents terminaux affectés. En particulier, les terminaux qui n’ont pas reçu les différents correctifs de sécurité. Comme on le sais déjà, Citrix n’as pas produit véritablement de mise à jour de correction mais juste des mesures permettant de contourner le problème et en même temps de protéger certaines sections touchées par la vulnérabilité.
Malheureusement certains pirates informatiques ont pu trouver la parade. Surtout que depuis que la fin a été découverte, certains exploits ont pu être exécutés et même publier sur la toile. Ce qui bien sûr a profité à bon nombre de pirates informatiques qui ont pu s’en inspirer durant tout le mois de janvier. Cela aussi a interpellé les experts de la cybersécurité qui n’ont pas cessé de prévenir sur la possibilité que les pirates informatiques analysaient de fond en comble les différentes instances de Citrix ADP dans le but de trouver des moyens de contourner les protections.
Quand bien même que certains pirates Informatiques ont utilisé cette faille pour différentes raisons, la firme FireEye s’est intéressée à un groupe en particulier. le groupe qui utilisait la faille de sécurité CVE-2019-19781 dont le mode opératoire est assez spéciale. En se servant de la faille de sécurité, ces derniers prennent le contrôle des Gateway affectés. Leur particularité réside dans le fait qui ne se précipitent pas comme leurs congénères pour installer leurs programmes malveillants sur les terminaux visés. Avant le procéder, il passe un certain moment à analyser les installations qu’ils ciblent. Durant cette étape, il se débarrasse de tous les autres programmes malveillants qui pourraient rendre difficile leur tâche. Une sorte de nettoyage de la concurrence.
Après cette première étape conclue. ces derniers vont installer leur propre logiciel malveillant dénommé NotRobin. Nom donné par FireEye. Ce logiciel malveillant a une particularité qui va consister a non seulement veiller à ce que aucun autre programme pirate ne s’installe sur le terminal visé. Cependant, il reprendra son rôle principal. Plus tard car en tant que logiciel malveillant son but n’est pas de protéger le terminal qu’il cible. Disons que c’est juste une manière d’avoir l’exclusivité. De la sorte les éditeurs de ce programme pourront alors installer d’autres programmes leur permettant de contrôler les appareils qu’ils auront infectés. « FireEye estime que l’acteur derrière NOTROBIN a compromis de manière opportuniste les appareils NetScaler, peut-être pour se préparer à une future campagne. Ils suppriment les autres logiciels malveillants connus, peut-être afin d’éviter d’être détectés par les administrateurs qui vérifient leurs appareils après avoir lu le bulletin de sécurité Citrix CTX267027. NOTROBIN bloque l’exploitation de CVE-2019-19781 sur les appareils compromis, mais conserve une porte dérobée pour un acteur avec une clé secrète », ont déclaré William Ballenthin et Josh Madeley des chercheurs de FireEye dans un billet de blog.
Accédez maintenant à un nombre illimité de mot de passe :