Actualités

Ramsay, un malware-espion qui s’insinue jusque dans les machines confinées hors réseau ! (air-not-gap…)

Comme pour les personnes en temps de (dé)confinement (progressif), les terminaux peuvent aussi être soumis à une telle rigueur via la technique de l’air-gap ou l’air-wall, une manipulation visant à isoler d’un réseau donné une machine ou un environnement dans le but d’empêcher toute tentative d’intrusion. Selon les recherches mises en lumière par eSET, le malware Ramsay permettrait, toute de même, de déjouer un tel cloisonnement…

 

 

Ayant de nombreux points commun avec Retro (conçu par DarkHotel, un groupuscule actif depuis, au moins et en théorie, 2004) qui ciblait, selon eESET, principalement la Chine et le Japon, cette pseudo nouvelle variante donc incarnée par Ramsay aurait, à son tour, fait fleurir d’autres versions d’exécutions.

 

(Source : eSAT)

 

Comme le montre l’illustration ci-dessus, de gauche à droite, une première version datée initialement autour de Septembre 2019 (“1”) contient, outre l’exécutable, un document Word qui sera compressé en archive (.RAR) pour être injecté sur le terminal de la victime ainsi ciblée. La seconde version (“2.a”), observée aux environs de Mars 2020, agrémente le scénario d’un rootkit (architecture 32-bit dont Microsoft se délestera “à partir de de Windows 10 version 2004“, soit la prochaine May Update de l’OS qui devrait être publiquement déployée fin de ce mois de Mai) et d’un “agent” (déguisé sous les traits d’une image .JPG cachant, en réalité, un .DLL corrompu) qui se chargera de tout un tas de tâches (à l’insu de l’utilisateur, bien sûr) telles que les analyses et les collectes de fichiers ou encore la création et la collecte de captures-écran. La seconde version bis (“2.b”) permet un déploiement depuis le document malicieux via un installer et un fichier .CAB dont ce dernier recèle (au lieu de l’exécutable dans les deux autres variantes) tout les outils ou vecteurs d’attaques qui seront potentiellement injectables sur le terminal.

eSAT évoque la notion d’air-gap puisque, théoriquement et toujours selon ses analyses, le malware peut s’injecter depuis un support de stockage amovible (comme tout un tas, pensons-le, de malware)… A veiller !

Source : We live security (eSAT) – 13 Mai 2020 – Ramsay : un malware-espion, même en air-gap.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020