SMB cible dans le monde entier par DeathStalker Hacking Group

Le groupe de piratage DeathStalker a été récemment lancé par un groupe de piratage qui a pénétré les petites et moyennes entreprises à travers le monde. Leur objectif principal est sur les établissements qui opèrent dans le secteur financier. Il est apparu pour la première fois il y a quelques années.

Selon les chercheurs en sécurité informatique, le groupe de piratage DeathStalker est l’auteur de diverses campagnes d’attaques à fort impact, des établissements financiers du monde entier tels que l’Europe, l’Asie et l’Amérique latine. Ce groupe de piratage est actif depuis 2018 et peut être lié à d’autres groupes de piratage. Il est principalement distribué aux cibles via des e-mails de phishing SPAM qui sont préparés et envoyés en masse. Les victimes recevront un fichier LNK dans le contenu ou les pièces jointes. Le fichier joint est masqué comme un document de bureau ordinaire. Une fois ouvert, il exécutera la charge utile d’alimentation respective.

Selon l’analyse des échantillons, l’implant va s’installer comme un virus persistant. Il fonctionnera à la mise sous tension du système et rendra également difficile l’accès aux options de récupération ou le suivi des guides de suppression d’utilisation manuelle. Il comprendra également un agent cheval de Troie qui établira une connexion solide avec un serveur contrôlé par un pirate informatique et permettra aux pirates de prendre le contrôle du système.

Il permet aux hackers d’espionner constamment les victimes, y compris la possibilité de prendre automatiquement des captures d’écran de l’activité des utilisateurs et de les envoyer aux victimes. Il permet également l’exécution de code arbitraire. Il s’agit non seulement de divers types de modifications du système, mais également de la possibilité d’installer d’autres logiciels malveillants.

Au cours de l’attaque de piratage de DeathStalker, l’analyse de sécurité révèle que les personnes piratées ont utilisé plusieurs résolveurs de points morts des services publics. Le pirate peut demander au malware distant d’exécuter des commandes ou de fournir des URL pour les charges utiles du malware.