Un cyber-espion aux techniques avancées s’attaquerait aux Etats-Unis en ciblant potentiellement la Maison Blanche et le Département d’Etat.
Le spécialiste de la sécurité Kaspersky s’alarme : cette nouvelle campagne, baptisée CozyDuke, outre ses cibles et victimes aux profils particulièrement sensibles que sont la Maison Blanche et le Département d’Etat, a des fonctionnalités crypto et anti-détection : le code recherche plusieurs produits de sécurité afin de les éviter : Kaspersky Lab, Sophos, DrWeb, Avira, Crystal, Comodo Dragon.
Comment fonctionne CozyDuke ? CozyDuke utilise souvent la technique du spear phishing en adressant à ses cibles des emails contenant un lien vers un site web infecté – y compris des sites critiques et légitimes comme diplomacy.pl, indique l’éditeur. Ce site héberge une archive Zip contenant un malware. Dans d’autres cas, qui se sont avérés fructueux, CozyDuke a envoyé de fausses vidéos en pièce jointe, contenant des fichiers exécutables malveillants.
Pour Kaspersky, les outils utilisés par cette campagne présentent “des éléments de structure similaires à ceux des campagnes de cyber-espionnage MiniDuke, CosmicDuke et OnionDuke, dont les auteurs pourraient être russophones selon certains indicateurs. ”
Le rapport des chercheurs de Kaspersky Lab est disponible ici : https://securelist.com/blog/69731/the-cozyduke-apt/