Malware IceRat cible les mots de passe des utilisateurs et l'extraction illégale de pièces, en utilisant des stratégies inhabituelles pour éviter la détection.
Le logiciel malveillant IceRat espionne les données d'accès des utilisateurs à divers services en ligne et, s'il est infecté, peut augmenter involontairement les factures d'électricité des utilisateurs - par le biais d'une extraction clandestine de pièces de monnaie. Techniquement, les développeurs ont mis au point un certain nombre de choses pour empêcher la détection du code malveillant par les solutions de sécurité.
Recherche de mots de passe
Karsten Hahn, analyste du virus G DATA, a examiné de plus près IceRat. Si le programme malveillant dangereux pénètre dans l'ordinateur, il espionne les données d'accès à divers services en ligne, tels que Facebook ou Amazon. Cependant, ces informations ne suffisent pas à elles seules aux criminels : ils installent également un mineur de pièces qui exploite illégalement des devises numériques. De cette façon, les auteurs gagnent de l'argent supplémentaire et les victimes doivent faire face à des factures d'électricité qui augmentent.
Les cybercriminels utilisent une double stratégie
Avec IceRat, les attaquants n'ont pas écrit les fonctions malveillantes dans un seul fichier, mais les ont réparties sur plusieurs composants qui ont été combinés pour former le malware. Pour la plupart de ces composants, l'analyste a rencontré un langage de programmation très inhabituel pour le code malveillant : JPHP. Il s'agit d'une implémentation PHP qui s'exécute dans la machine virtuelle Java. Avec cette approche, les cybercriminels tentent de tromper les solutions de sécurité afin d'empêcher la détection. Si les fichiers individuels du programme malveillant n'ont pas le contexte global, il est difficile de les identifier comme malveillants. L'utilisation de JPHP est également si inhabituelle que de nombreuses solutions de sécurité ne sonnent pas l'alarme.
«IceRat est très dangereux et nuit aux utilisateurs de deux manières. Une infection signifie que non seulement les mots de passe tombent entre de mauvaises mains et peuvent être vendus de manière lucrative sur des marchés souterrains spéciaux. Dans le même temps, l'ordinateur est également utilisé à mauvais escient pour l'extraction illégale de pièces de monnaie. Les attaquants gagnent deux fois plus aux dépens de leurs victimes », explique Karsten Hahn, analyste de virus chez G DATA CyberDefense.
Plus d'informations sur GData.de
À propos des données G Avec des services complets de cyberdéfense, l'inventeur de l'AntiVirus permet aux entreprises de se défendre contre la cybercriminalité. Plus de 500 collaborateurs assurent la sécurité numérique des entreprises et des utilisateurs. Fabriqué en Allemagne : Avec plus de 30 ans d'expertise dans l'analyse des logiciels malveillants, G DATA mène des recherches et développe des logiciels exclusivement en Allemagne. Les exigences les plus élevées en matière de protection des données sont la priorité absolue. En 2011, G DATA a émis une garantie "pas de porte dérobée" avec le sceau de confiance "IT Security Made in Germany" de TeleTrust eV. G DATA propose un portefeuille d'antivirus et de protection des terminaux, de tests de pénétration et de réponse aux incidents, d'analyses médico-légales, de vérifications de l'état de la sécurité et de formation à la cybersensibilisation pour défendre efficacement les entreprises. Les nouvelles technologies telles que DeepRay protègent contre les logiciels malveillants grâce à l'intelligence artificielle. Le service et l'assistance font partie du campus G DATA à Bochum. Les solutions G DATA sont disponibles dans 90 pays et ont reçu de nombreuses récompenses.