Le cheval de Troie FlawedAmmyyy touche l’industrie automobile

0

Les chercheurs de Proofpoint ont découvert un nouveau cheval de Troie d’accès à distance (RAT Remote Access Trojan) non documenté. Auparavant appelé FlawedAmmyyy, ce cheval de Troie a été utilisé à la fois pour des attaques emails hautement ciblées et dans des campagnes massives de phishing qui visaient notamment l’industrie automobile.

Alors que d’autres grandes campagnes de spams semblaient être associées à l’acteur menaçant TA505, responsable de nombreuses attaques à grande échelle depuis 2014, FlawedAmmyyy est apparu les 5 et 6 mars derniers.

Un outil d’accès à distance transformé en cheval de Troie

Les messages corrompus contenaient en pièces jointes des url zippés. Le contenu de ces messages et le modus operandi suggéraient qu’ils étaient l’œuvre de TA505, un acteur connu pour être à l’origine de campagnes Dridex, Locky et GlobeImposter de grande envergure ces quatre dernières années.

Par exemple, le 5 mars, les messages étaient envoyés à partir d’adresses usurpant le domaine du destinataire avec des sujets tels que “Reçu n ° 1234567” (chiffres aléatoires, et le premier mot pouvant également être “facture”. Les pièces jointes étaient des archives ZIP contenant des fichiers “.url”. 

Figure 1

Tout au début, Ammyyy Admin était un outil d’accès à distance utilisé par les entreprises pour gérer le contrôle et le diagnostic à distance sur les machines Microsoft Windows.

Figure 5

Cependant, le code source divulgué pour la version 3 d’Ammyy Admin s’est transformé en cheval de Troie d’accès à distance (RAT).

Désormais appelé FlawedAmmyyy, il est apparu dans deux campagnes massives et a contaminé de nombreux ordinateurs. Il a permis d’obtenir un accès complet au PC des victimes et ainsi facilité l’accès à une variété de services et le vol de fichiers et d’informations d’identification.

Share.

About Author

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply