Un malware numit DarkCornet se ascunde într-o fotografie care ar putea să fi infectat deja milioane de PC-uri.
La o săptămână după drama care a lovit redacţia publicaţiei Charlie Hebdo, societatea de securitate Blue Coat a descoperit un malware "#JesuisCharlie" construit plecând de la DarkCornet RAT, (mai numit şi Fynloski) un utilitar de administrare de a distanţă a sistemelor informatice cuplat cu un puternic cal troian care instalează backdoor.Fotografia cu pricina este cea cu o mână de copil ce poartă o banderolă pe care scrie JE SUIS CHARLIE. La origine, fotografia a fost publicată de rapperul Joey Starr pe reţelele sociale şi s-a răspândit ca fulgerul în doar câteva minute.Îndată ce daţi clik pe fotografie, un mesaj vă va indica, în franceză, că fişierul va fi imposibil de deschis , căci a fost creat într-o versiune anterioară a MovieMaker.
Doar că virusul a fost deja activat!
Toate fişierele pot fi compromise, inclusiv imaginile, în ciuda credinţei populare că acestea nu pot fi infectate. Acest virus poate fi detectat cu greutate de către programele antivirus. Doar 2 dintre 53 de scanări on ligne ale serviciului Virus Total au reuşit să-l repereze.
Virusul e programat în Delphi şi pitit într-o anvelopă (wrapper) .NET.
Gazda sistemului de Command and Control se raportează la un subdomeniu al serviciului adresei IP dinamice No-IP. Un serviciu legitim de DNS dinamic, "deseori folosit de către actori răuvoitori" subliniază Blue Coat. Adresa utilizată de DarkCornet era asociată cu serviciile Orange. Infrastructura construită era foarte dinamică.
"Adresa IP franceză şi mesajul de eroare în limba franceză ar da impresia că acest fişier are caţintă pe utilizatorii francezi, deşi nu avem nici un indiciu asupra originii asaltatorilor li asupra a ceea ce urmăresc ei" a precizat Blue Coat.
A doua zi după lansarea postării Blue Coat, erau atacate aproape 20 000 de site-uri franţuzeşti
Orice ar fi, nu daţi clik pe imaginea cu pricina!
Niciun comentariu:
Trimiteți un comentariu