Cet article présente le malware COZYDUKE (Cozybear/OfficeMonkey) analysé fin avril 2015 par les sociétés KASPERSKY et FSECURE. Il est notamment connu pour avoir visé des structures gouvernementales telles que la Maison-Blanche et le département d’État des USA. Dans la suite de l'article, nous verrons les principales interactions du dropper et du malware sur le système infecté.
1. Présentation
Les attaquants ont effectué des campagnes de « spearphishing » pour inciter leurs cibles à cliquer sur un lien vers un fichier ZIP. Cette archive ZIP contient une archive RAR auto-extractible (SFX).
Lors de l’exécution, deux fichiers sont extraits : le Dropper de Cozyduke et un fichier leurre.
Ce fichier leurre est souvent un fichier PDF, mais peut être aussi une vidéo Flash [MONKEY].
Cozyduke est une « boite à outils », c'est-à-dire un malware composé d'une partie principale et de différents modules. Les premières versions dateraient de début 2012 [FSECURE].
L'échantillon 91aaf47843a34a9d8d1bb715a6d4acec est intéressant, car il est l'une des versions les plus évoluées [FSECURE]et contient : un système d'obfuscation des chaînes de caractères, du chiffrement RC4, une technique de détection d'antivirus et plusieurs méthodes de persistance.
2. Le dropper
Le dropper est un composant essentiel dans le scénario d'infection...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première
