Le groupe, qui n’avait jusqu’à présent fait l’objet d’aucune étude, a recours à l’hameçonnage sur le thème de COVID-19
Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert un nouveau groupe de pirates qui vole des documents sensibles à des gouvernements d’Europe de l’Est et des Balkans depuis 2011. Nommé XDSpy par ESET, il a réussi à échapper à quasiment toute détection pendant neuf ans, ce qui est rare. Le groupe d’espionnage a compromis de nombreuses agences gouvernementales et entreprises privées. La découverte a été présentée durant la conférence VB2020 localhost.
« Le groupe a attiré très peu l’attention du public jusqu’à présent, à l’exception d’un avis du CERT biélorusse en février 2020, » explique Mathieu Faou, le chercheur d’ESET qui a analysé le malware.
Les opérateurs de XDSpy utilisent des emails d’hameçonnage pour compromettre leurs cibles. Les emails sont légèrement différents les uns des autres, car certains contiennent une pièce jointe, tandis que d’autres contiennent un lien vers un fichier malveillant. Le premier niveau du fichier malveillant ou de la pièce jointe malveillante est généralement une archive ZIP ou RAR. Fin juin 2020, les opérateurs ont intensifié leur campagne à l’aide d’une vulnérabilité dans Internet Explorer, CVE-2020-0968, qui avait été corrigée en avril 2020. « Le groupe a suivi la mouvance sur le COVID-19 pour ses campagnes de harponnage, au moins deux fois en 2020, dont une fois il y a seulement un mois, » ajoute M. Faou.
« Comme nous n’avons trouvé aucune similitude avec d’autres familles de malwares au niveau du code, et que nous n’avons observé aucun chevauchement dans l’infrastructure réseau, nous en concluons donc que XDSpy est un groupe qui a réussi à passer inaperçu jusqu’à présent, » conclut M. Faou.
Les cibles du groupe XDSpy sont situées en Europe de l’Est et dans les Balkans. Il s’agit principalement d’entités gouvernementales, notamment l’Armée, des ministères des Affaires étrangères et des entreprises privées.
Localisation des victimes connues du groupe XDSpy selon la télémétrie ESET
Pour plus de détails techniques sur ce logiciel espion, lisez l’article « XDSpy: stealing government secrets since 2011 » sur WeLiveSecurity. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.