Kaspersky Lab a découvert un nouveau malware. Son pilote est signé au moyen d’un certificat numérique authentique. Il a été émis par un éditeur de logiciels de sécurité informatique.
Si le spécialiste ne révèle pas le nom de l’éditeur de logiciels de sécurité, il donne néanmoins quelques précisions sur ce malware. Il le lie à l’acteur malveillant sinophone, LuckyMouse. Ce dernier est connu pour ses attaques d’espionnage ciblées contre de grandes institutions à travers le monde.
Eviter la détection
Le malware a infecté un ordinateur cible via un logiciel pilote créé pour l’occasion. Cela leur a permis d’exécuter toutes sortes de tâches courantes : commandes, téléchargement de fichiers, interception du trafic réseau. Afin que le pilote inspire confiance, “le groupe a apparemment dérobé un certificat numérique”. Ce dernier appartenant “à un développeur de logiciels de sécurité informatique. Il l’a utilisé pour signer des échantillons de malware. Le but était d’éviter la détection par des solutions de sécurité, la signature légitime donnant au malware l’aspect d’un logiciel licite.”
Kaspersky Lab avait déjà signalé une attaque de LuckyMouse contre un datacenter national. Elle visait à organiser une campagne de type « waterhole » au niveau d’un pays.