Le groupe de hackers chinois APT PlushDaemon attaque à la fois les entreprises et les utilisateurs privés du monde entier. Ils utilisent la porte dérobée « Slow Stepper » pour espionner les ordinateurs Windows et voler, entre autres, des données d’accès.
Des chercheurs ont découvert un groupe de menaces persistantes avancées (APT) jusqu'alors inconnu : « PlushDaemon » est lié à la Chine et est actif depuis au moins 2019. Les pirates utilisent leur outil de piratage « SlowStepper » pour mener des attaques de cyberespionnage sophistiquées sur les ordinateurs Windows. Au cours de leurs attaques, ils ont volé des informations précieuses à des particuliers et à des entreprises en Asie de l’Est, aux États-Unis et en Nouvelle-Zélande.
PlushDaemon entre dans le système en tant que passager clandestin
PlushDaemon utilise diverses astuces malveillantes pour obtenir des données. Les pirates manipulent les mises à jour légitimes de diverses applications chinoises en redirigeant le trafic vers leurs propres serveurs. Résultat : les utilisateurs qui souhaitent télécharger une mise à jour pour leur application reçoivent à la place la porte dérobée SlowStepper créée par PlushDaemon. Il s’agit d’une porte dérobée numérique extrêmement polyvalente permettant d’accéder aux ordinateurs des personnes concernées. Une fois actif sur un appareil, il collecte une variété de données. Il peut récupérer des informations à partir de navigateurs Web, prendre des photos et rechercher des documents. De plus, il collecte des données provenant de diverses applications telles que les applications de messagerie et vole des informations de mot de passe.
« La variété des composants de PlushDaemon montre à quel point cette nouvelle menace est sérieuse », prévient le chercheur d'ESET Facundo Muñoz, à l'origine de la découverte de PlushDaemon et de SlowStepper. « De plus, les logiciels malveillants sont constamment mis à jour et deviennent donc de plus en plus dangereux. »
Exposition
Abonnez-vous à la newsletter maintenant
Lisez les meilleures nouvelles de B2B CYBER SECURITY une fois par mois
Développer pour plus de détails sur votre consentement
Il va sans dire que nous traitons vos données personnelles de manière responsable. Si nous collectons des données personnelles auprès de vous, nous les traitons conformément aux réglementations applicables en matière de protection des données. Vous trouverez des informations détaillées dans notre
Déclaration de protection des données. Vous pouvez vous désinscrire de la newsletter à tout moment. Vous trouverez un lien correspondant dans la newsletter. Après votre désinscription, vos données seront supprimées dans les plus brefs délais. La récupération n'est pas possible. Si vous souhaitez recevoir à nouveau la newsletter, il vous suffit de la commander à nouveau. Faites de même si vous souhaitez utiliser une adresse e-mail différente pour votre newsletter. Si vous souhaitez recevoir la newsletter proposée sur le site, nous avons besoin d'une adresse e-mail de votre part ainsi que d'informations nous permettant de vérifier que vous êtes le propriétaire de l'adresse e-mail fournie et que vous acceptez de recevoir les bulletin. D'autres données ne sont pas collectées ou ne sont collectées que sur une base volontaire. Nous utilisons des fournisseurs de services de newsletter, qui sont décrits ci-dessous, pour traiter la newsletter.
CleverReach
Ce site Web utilise CleverReach pour envoyer des newsletters. Le fournisseur est CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Allemagne (ci-après « CleverReach »). CleverReach est un service permettant d'organiser et d'analyser l'envoi de newsletters. Les données que vous saisissez dans le but de vous abonner à la newsletter (par exemple l'adresse e-mail) seront stockées sur les serveurs de CleverReach en Allemagne ou en Irlande. Nos newsletters envoyées avec CleverReach nous permettent d'analyser le comportement des destinataires de la newsletter. Cela peut inclure Le nombre de destinataires qui ont ouvert le message de la newsletter et la fréquence à laquelle le lien de la newsletter a été cliqué sont analysés. À l'aide de ce que l'on appelle le suivi des conversions, il est également possible d'analyser si une action définie au préalable (par exemple, l'achat d'un produit sur ce site Web) a eu lieu après avoir cliqué sur le lien dans la newsletter. De plus amples informations sur l'analyse des données par la newsletter CleverReach sont disponibles sur :
https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Le traitement des données a lieu sur la base de votre consentement (art. 6 al. 1 lit. a DSGVO). Vous pouvez révoquer ce consentement à tout moment en vous désinscrivant de la newsletter. La légalité des opérations de traitement de données qui ont déjà eu lieu n'est pas affectée par la révocation. Si vous ne souhaitez pas une analyse par CleverReach, vous devez vous désinscrire de la newsletter. À cette fin, nous fournissons un lien correspondant dans chaque message de la newsletter. Les données que vous avez stockées chez nous dans le but de vous abonner à la newsletter seront stockées par nous ou par le fournisseur de service de newsletter jusqu'à ce que vous vous désabonniez de la newsletter et supprimées de la liste de distribution de la newsletter après que vous ayez annulé la newsletter. Les données que nous stockons à d'autres fins ne sont pas affectées. Une fois que vous avez été retiré de la liste de distribution de la newsletter, votre adresse e-mail peut être stockée par nous ou le fournisseur de services de newsletter dans une liste noire si cela est nécessaire pour empêcher de futurs envois. Les données de la liste noire ne seront utilisées qu'à cette fin et ne seront pas fusionnées avec d'autres données. Cela sert à la fois votre intérêt et notre intérêt à respecter les exigences légales lors de l'envoi de newsletters (intérêt légitime au sens de l'art. 6 al. 1 lit. f RGPD). Le stockage dans la liste noire n'est pas limité dans le temps.
Vous pouvez vous opposer au stockage si vos intérêts l'emportent sur nos intérêts légitimes.
Pour plus d'informations, voir la politique de confidentialité de CleverReach à l'adresse:
https://www.cleverreach.com/de/datenschutz/.
Le traitement des commandes
Nous avons conclu un contrat de traitement des commandes (AVV) pour l'utilisation du service susmentionné. Il s'agit d'un contrat requis par la loi sur la protection des données, qui garantit que les données personnelles des visiteurs de notre site Web ne sont traitées que conformément à nos instructions et dans le respect du RGPD.
Les utilisateurs de VPN en Corée du Sud ont été touchés et ne le savaient pas
Une autre méthode d'attaque affecte les utilisateurs du service VPN IPany, populaire en Corée du Sud : le groupe de pirates a remplacé le fichier d'installation habituel sur le site Web du fournisseur par un nouveau package de données. Celui-ci contenait la porte dérobée en plus des fichiers d'installation légitimes.
« En mai 2024, nous avons découvert un code malveillant dans un programme d'installation Windows que des utilisateurs en Corée du Sud ont téléchargé à partir du site Web du logiciel VPN légitime IPany. « Après une analyse plus approfondie, nous avons découvert que le programme d'installation avait installé à la fois le logiciel légitime et la porte dérobée », explique Facundo Muñoz, chercheur à l'ESET, qui a retrouvé PlushDaemon et SlowStepper. « Nous avons contacté le développeur du logiciel VPN pour l'informer de la compromission. « L’installateur malveillant a été immédiatement supprimé du site Web. »
Plus sur ESET.com
À propos d'ESET
ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.
Articles liés au sujet
