DoublePulsar : les jouets de l’Equation Group font du dégât

Sécurité : Les données diffusées par les ShadowBrokers contiennent plusieurs outils utilisés par The Equation Group pour infecter des machines Windows. Un correctif a depuis été diffusé, mais les infections se multiplient.

S’il est complexe de comprendre les tenants et les aboutissants de l’affaire ShadowBrokers, une chose est sûre : les malwares sont eux tout à fait légitimes.

Ce groupe anonyme a en effet publié une importante archive contenant des exploits et autres outils d’attaque informatique qu’ils prétendent avoir dérobés auprès du groupe Equation, un groupe de cybercriminel désigné par Kaspersky et qui présente certaines similitudes avec la NSA.

DoublePulsar : les jouets de l’Equation Group font du dégât - 2017 - 2018 

Au sein de l’archive publiée par les Shadow Brokers se trouvaient ainsi plusieurs programmes utilisés par l’Equation Group pour ses attaques. Parmi ceux-ci se trouvait une plateforme, baptisée du nom de code Fuzzbunch, qui était utilisé pour diffuser les malwares.

L’archive contenait également une vingtaine d’exploits, différents codes malveillants exploitant des vulnérabilités au sein de Windows pour pouvoir par la suite exécuter du code sur la machine. Bien évidemment, la publication de ces différents outils par le groupe des Shadow Brokers n’a pas été accompagnée d’une notice visant à prévenir Microsoft de ces failles et les cybercriminels de tous bords se sont jetés sur l’aubaine afin de tenter de reprendre à leur compte ces outils d’attaque informatiques.

Et selon plusieurs sources, cette entreprise fonctionne assez bien malgré les efforts de Microsoft pour endiguer le problème.

Parmi les différents exploits fonctionnant grâce à Fuzzbunch, on retrouve ainsi un exploit baptisé DoublePulsar et qui vise les systèmes Windows. Ce malware exploite des failles au sein du protocole SMB utilisé par Windows pour le partage de ressources, et se distingue par sa capacité à rester infecté sur la machine de la cible une fois que celle-ci est infectée. Mais DoublePulsar est un malware capable d’acquérir des privilèges élevés sur la machine, et de télécharger par la suite d’autres modules afin éventuellement de voler des données, des identifiants ou autres.

Face à cette publication, Microsoft a publié un patch visant à corriger la faille exploitée par ce malware dans son patch Tuesday de mars.

Mais il semblerait que de nombreuses machines restent aujourd’hui encore vulnérables à cette attaque, puisque comme le révèle la société Below0Day, plus de 36 000 machines sont infectées par le malware DoublePulsar. Et il s’agit d’une estimation basse, puisque d’autres entreprises avancent des chiffres s’élevant à près de 100 000 machines infectées.

DoublePulsar : les jouets de l’Equation Group font du dégât - 2017 - 2018 

Selon la société, qui a mis au point un outil de scan capable de détecter les machines infectées par ce malware, le gros des infections se partage entre les machines aux États-Unis, en Grande-Bretagne et à Taiwan.

Un chiffre impressionnant, mais qui souligne que la diffusion des correctifs ne suffit pas toujours à endiguer la menace, il faut encore les appliquer. Contacté par Ars Technica à ce sujet, Microsoft a expliqué qu’ils doutaient des chiffres avancés par les entreprises ayant scanné les infections par DoublePulsar et que des investigations étaient en cours de leur côté pour évaluer l’étendue des dégâts.

DoublePulsar : les jouets de l’Equation Group font du dégât

Source : L’article DoublePulsar : les jouets de l’Equation Group font du dégât >> est extrait de ZDNet

Une sélection d'articles qui pourraient vous intéresser ...

DoublePulsar : les jouets de l’Equation Group font du dégât - 2017 - 2018
Ne manquez plus rien!
Abonnez-vous dès maintenant aux infos de SOSVirus et recevez chaque mois, le meilleur de la sécurité informatique : news, tutos, hacking, alerte ransomware, spam alerte ...

1 Etoile2 Etoiles3 Etoiles4 Etoiles5 Etoiles 1 avis, 5,00/5
Loading...
2017-04-25T21:00:20+00:00

Laisser un commentaire