Sécurité : un nouveau virus surfant sur le slogan « je suis Charlie »

Sur le web

Par Gregori Pujol le

Bien souvent, les pirates tentent d’exploiter les actualités afin de pousser les internautes à exécuter des programmes malveillants. Le laboratoire de recherche des menaces sur Internet de Blue Coat surveille ces activités, et le dernier cas recensé fait état d’un logiciel malveillant redoutable sur le thème « Je suis Charlie », un slogan qui s’est propagé de manière virale suite à l’attaque des bureaux de Charlie Hebdo à Paris le 7 Janvier 2015.

Le code malicieux en question est le tristement célèbre DarkComet RAT (aka Fynloski), un outil de prise de contrôle à distance des ordinateurs, disponible gratuitement, et qui peut également se doubler d’un cheval de Troie qui crée une porte d’accès à l’ordinateur pour le pirate (backdoor). DarkComet a été initialement développé par le pirate français DarkCoderSc, qui a arrêté son développement en 2012. Néanmoins, sa facilité d’utilisation et la richesse de ses fonctionnalités l’ont rendu populaire auprès de de nombreux types d’attaquants – des créateurs de scripts très simples et des activistes jusqu’aux acteurs beaucoup plus sinistres.

La variante utilisée dans cette attaque est camouflée pour la rendre plus difficilement détectable par les scanners des antivirus. Le virus DarkComet Delphi est contenu dans un emballage de .NET, ce qui rend les éléments d’identification de DarkComet difficiles à repérer. En effet, au moment de la rédaction de ce texte, le taux de détection de cet exécutable par les antivirus est très faible – seulement 2 antivirus sur les 53 disponibles sur le service de scanner en ligne VirusTotal le détectent.

unnamed

Comme vous pouvez le voir ci-dessus, l’échantillon créé une copie de lui-même sous le nom svchost.exeet lance une image d’un nouveau-né avec une bande portant le slogan « Je suis Charlie ». Cette image semble avoir été récoltée à partir de sources publiques.

L’échantillon affiche également un message en français pour tromper l’utilisateur et lui faire croire que le code a été créé par une version précédente de MovieMaker. L’adresse actuelle du domaine qui héberge le centre de commande de ce virus renvoie sur une adresse IP chez le fournisseur d’accès Internet Orange. L’adresse IP française et le message d’erreur en français renforce l’impression que ce virus cible les utilisateurs français. La société Blue Coat a informé les autorités françaises de la découverte de ce malware.

unnamed