Les chercheurs de G Data découvrent : le malware Java copie les mots de passe et permet également le contrôle à distance via RDP.
Un logiciel malveillant récemment découvert et développé en Java peut copier les données d'accès, contrôler à distance l'ordinateur de la victime et exécuter d'autres commandes. Le composant ransomware intégré n'est pas encore entièrement fonctionnel.
Les analystes de G DATA CyberDefense mettent en garde contre de nouveaux malwares développés en Java. Si le logiciel malveillant est actif sur un système, les criminels peuvent lire les mots de passe des navigateurs et des programmes de messagerie. De plus, étant donné que le logiciel malveillant a une capacité d'accès à distance (RAT), un attaquant peut prendre le contrôle à distance du système infecté. Le Remote Desktop Protocol (RDP) est utilisé pour cela - une version modifiée de l'outil "rdpwrap" (https://github.com/stascorp/rdpwrap) est téléchargé en arrière-plan. L'accès RDP caché est possible dans la version modifiée.
De plus, le logiciel malveillant contient un composant de rançongiciel – encore actuellement – rudimentaire. Jusqu'à présent, cependant, aucun cryptage n'a eu lieu ici, seulement un changement de nom des fichiers. Étant donné que les logiciels malveillants sont souvent développés en permanence, cela pourrait changer dans les futures versions.
Inattendu : nouveau malware Java
"Le malware actuel est inhabituel, nous n'avons pas vu de nouveau malware Java depuis longtemps", déclare Karsten Hahn, analyste de virus chez G DATA. "Avec les logiciels malveillants que nous avons analysés, nous constatons déjà des tentatives d'infection chez nos clients."
Avec la route d'infection actuelle, le logiciel malveillant ne peut pas s'exécuter sans Java. On peut supposer que celui qui a écrit le logiciel a expérimenté. Cependant, il existe déjà une fonctionnalité qui télécharge et installe l'environnement d'exécution Java juste avant d'être infecté par le logiciel malveillant Java. Quiconque possède déjà une version de Java Runtime Environment (JRE) installée sur son ordinateur est vulnérable à une infection.
L'accès RDP est traditionnellement un moyen populaire pour les criminels d'accéder aux systèmes des réseaux d'entreprise. Les entreprises, à leur tour, utilisent l'accès RDP pour les travaux de maintenance et parfois pour le travail à distance. Au sein d'un réseau d'entreprise, il faut donc veiller à surveiller de près le trafic RDP afin de pouvoir remarquer immédiatement toute anomalie. Vous trouverez d'autres détails techniques et graphiques dans l'article du Techblog en anglais notre analyste Karsten Hahn.
Plus d'informations sur GData.de