Casper : un autre malware fabriqué en France ?

Via NEXTINpact, Motherboard :

Le retour de la french-touch ? Les chercheurs sécu de chez ESET ont, avec l’aide de personnes de GDATA et du CERT Luxembourg, analysé un malware baptisé Casper qui montre des similitudes (codes et formats d’identifiants communs) avec Babar et une autre bestiole baptisée NBOT.

Ici le public visé par le malware serait de nationalité syrienne : deux zero-days affectant le playeur Flash ont été placées sur un site du gouvernement syrien dans le but d’installer l’exécutable Casper sur les machines des visiteurs.
L’exploitation de ce site qui permet aux syriens de demander des dédommagements liés aux destructions de la guerre civile ne serait pas une fin en soit : le site aurait été choisi principalement car considéré de confiance par le public visé et aussi car vulnérable (ayant subit des intrusions par le passé) ce qui en faisait un relais idéal pour installer le malware.
Il est supposé que les victimes aient été hameçonnées via mail (ou autre) pour visiter la page malicieuse.

Malgré l’utilisation de deux 0-days, le malware Casper installé semble disposer de fonctionnalités assez basique : renvoi d’un rapport identifiant le poste infecté, détection d’antivirus, droppeur.
Son rôle principal est principalement de pouvoir déterminer si la personne vérolée est d’intérêt pour des attaques plus poussées.

Le groupe supposé français derrière ces attaques est déjà surnommé Animal-Farm.

4 réflexions au sujet de « Casper : un autre malware fabriqué en France ? »

Les commentaires sont fermés.