Bitdefender met en garde contre un 'logiciel pro-russe' qui installe le cheval de Troie Kelihos

publié par Laboratoires Antivirus Bitdefender, le 28 August 2014

L’éditeur de logiciels antivirus Bitdefender signale que des individus se revendiquant comme étant une communauté de hackers russes installent un malware dérobant des données sur les machines des utilisateurs. Ils prétendent que leur programme est conçu pour attaquer les gouvernements occidentaux, dont les États-Unis.

Bitdefender met en garde contre un logiciel présenté comme étant « pro-russe » et qui installe en fait le cheval de Troie KelihosDans le contexte de la crise ukrainienne, les hackers ont conçu d’ingénieux messages de spam qui leur permettent d’installer un cheval de Troie sur les systèmes de ceux qui soutiennent la « cause russe » et désapprouvent les mesures prises à l’encontre de la Russie. Les utilisateurs qui cliquent sur les liens malveillants qui sont contenus dans ces e-mails rejoignent le botnet à leur insu et contribuent à la diffusion du malware.

Le cheval de Troie dépose trois fichiers sains utilisés pour le suivi du trafic (npf_sys, packet_dll, wpcap_dll) et est capable d’analyser les données sensibles du navigateur Web, le trafic Internet et d’autres informations personnelles.

Voici ces messages malveillants traduits par les spécialistes du spam russophones de Bitdefender : « Nous, un groupe de hackers de la Fédération de Russie, nous nous inquiétons des sanctions excessives imposées à notre pays par les états occidentaux. »

« Nous avons codé notre réponse et vous trouverez ci-dessous le lien vers notre programme. Exécutez l’application sur votre ordinateur et elle commencera à attaquer en secret les organismes gouvernementaux des états ayant adopté ces sanctions. »

Après avoir cliqué sur les liens, les victimes téléchargent un fichier exécutable connu sous le nom de « Kelihos ». Le cheval de Troie communique avec le centre de commande et de contrôle en échangeant des messages cryptés via HTTP afin d’obtenir des instructions supplémentaires.

Bitdefender met en garde contre un logiciel présenté comme étant « pro-russe » et qui installe en fait le cheval de Troie Kelihos

En fonction du type de charge utile, Kelihos peut effectuer l’une des actions suivantes :

· Communiquer avec d’autres ordinateurs infectés
· Dérober des portefeuilles virtuels de Bitcoins
· Envoyer des messages de spam
· Dérober des identifiants FTP et de messagerie mais également les informations de connexion enregistrées par les navigateurs
· Télécharger et exécuter d’autres fichiers malveillants sur le système affecté
· Surveiller le trafic des protocoles FTP, POP3 et SMTP

Les Laboratoires Bitdefender ont analysé l’une des récentes vagues de spam et ont remarqué que tous les fichiers .eml conduisaient vers des liens setup.exe, avec cinq IP uniques. Trois étaient ukrainiennes alors que les deux autres étaient polonaise et moldave.

Doina Cosovan, Analyste antivirus chez Bitdefender, explique qu’ « il peut s’agir de serveurs spécialisés dans la diffusion de malwares ou d’autres ordinateurs infectés ayant rejoint le botnet Kelihos » et qu’« iI est paradoxal que la plupart des IP infectées soient ukrainiennes. Cela peut signifier que des ordinateurs de ce pays ont également été infectés ou que c’est en Ukraine même que se trouvent les serveurs de distribution. »

Bitdefender protège les ordinateurs des utilisateurs à la fois contre la vague de spam malveillant et l’infection par le cheval de Troie Kelihos.

Bitdefender bloque la page

Pour convaincre les utilisateurs de l’authenticité de leur cause, les hackers russes ont ajouté une touche de « marketing » à leurs messages. Ils prétendent que leur programme fonctionne silencieusement, ne nécessite pas plus de 10 à 50 mégaoctets de trafic par jour et n’a pas d’impact sur les performances du processeur.

Les e-mails de spam indiquent également : « Lorsque vous aurez redémarré votre ordinateur, notre programme cessera ses activités et vous pourrez, si vous le souhaitez, l’exécuter de nouveau. Si nécessaire, désactivez votre antivirus à ce moment-là ».

Il n’est évidemment pas recommandé de désactiver votre solution de sécurité. Maintenez-la installée et à jour, de même que les autres logiciels et votre système d’exploitation car les programmes malveillants exploitent généralement les vulnérabilités détectées dans les logiciels non à jour. 

Également connu sous le nom de « Hlux », le botnet Kelihos a été découvert il y a quatre ans. Il effectue principalement du vol de Bitcoins et de l’envoi de spam. Le botnet a une structure peer-to-peer, dans laquelle des nœuds individuels peuvent agir en tant que serveurs de commande et de contrôle dans l’ensemble du botnet, augmentant ainsi sa longévité.

En janvier 2012 une nouvelle version du botnet a été découverte et Microsoft a porté plainte contre un citoyen russe, auteur présumé du code source du Botnet Kelihos.

Tous les noms de produits et de sociétés cités dans ce texte ne le sont qu’à titre informatif et appartiennent à, ou peuvent être des marques déposées de, leurs propriétaires respectifs.

Cet article a été réalisé à partir de messages de spam aimablement fournis par Adrian MIRON, Spécialiste du Spam chez Bitdefender et les informations techniques de Doina COSOVAN, Analyste antivirus chez Bitdefender.

Laboratoires Antivirus Bitdefender

Nous protégeons vos ordinateurs, tablettes et smartphones. Parce que les menaces actuelles sont loin d’être virtuelles et sont de plus en plus virulentes, nous mettons toute notre expertise à votre service pour protéger vos informations.