Une nouvelle variante du trojan d’accès à distance (RAT) COMpfun contrôlée à l’aide de codes de statut HTTP rares a été utilisée dans des attaques visant des entités diplomatiques européennes.

Ce malware a été détecté et analysé pour la première fois par G-Data en 2014, tandis qu’un autre cheval de Troie présentant de « fortes similitudes de code » capables de mener des attaques de type homme du milieu (MitM) sur le trafic chiffré a été découvert par Kaspersky en 2019, qui plus tard l’a surnommé Reductor.

Même si G-Data n’a attribué COMpfun à aucun auteur de malware spécifique, Kaspers l’associe « à Turla APT avec un niveau de confiance moyen à faible » en fonction des victimes ciblées par ses opérateurs.

Cheval de Troie d’accès à distance amélioré

La nouvelle variante de malware COMpfun a été découverte par Kaspersky en novembre 2019 et comprend toutes les fonctionnalités de toutes les fonctionnalités de malware RAT.

Une fois qu’il infecte le système d’une cible, il commence à collecter des informations pour ses maîtres, les rassemble et les envoie à ses serveurs de commande et de contrôle (C2).

COMpfun récolte les informations de géolocalisation et les données système, il enregistre les titres des fenêtres et toutes les frappes sur les systèmes compromis, et il prend des captures d’écran qui lui permettent de capturer des informations sensibles à partir de l’écran de la victime.

Chaîne d'infection COMpfun
Chaîne d’infection COMpfun (Kaspersky)

Cependant, contrairement à d’autres RAT, celui-ci a également la capacité de se propager à d’autres appareils (potentiellement à écartement) en surveillant et en infectant tous les appareils amovibles connectés aux appareils compromis.

Infos WEB:  Les pirates pourraient cibler les organisations via des failles dans les produits d'automatisation d'usine Mitsubishi

« Si l’initialisation réussit, le logiciel malveillant démarre un autre thread pour envoyer des messages Windows, à la recherche de …

Voir la source de cette publication