Nouvelles d’Afrique

Symantec : « njRAT alimente les prémices de la cybercriminalité au Moyen-Orient »

Nouvelle économie

APO / 2 avril 2014

Symantec a observé le développement de groupes de hackers indigènes au Moyen-Orient, autour d’un logiciel malveillant simple appelé « njRAT ». Le malware njRAT est similaire à de nombreux autres outils d’accès à distance, si ce n’est qu’il a été développé et encadré par des pirates arabophones, d’où sa grande popularité auprès des hackers de la région.

Ce programme malveillant peut servir à contrôler des réseaux d’ordinateurs, appelés réseau de machines zombies. Même si la majorité des pirates qui utilisent njRAT relèvent d’une activité de cybercriminalité normale, il a été démontré que certains groupes se servent aussi de ce malware pour cibler les gouvernements de la région.

Symantec a analysé 721 échantillons de njRAT et a découvert un nombre non négligeable d’infections. 542 noms de domaine de serveurs de contrôle-commande et 24 000 ordinateurs infectés ont été trouvés à travers le monde. Près de 80% des serveurs de contrôle-commande se trouvaient au Moyen-Orient et en Afrique du Nord, notamment en Arabie saoudite, Irak, Tunisie, Égypte, Algérie, au Maroc, dans les Territoires palestiniens et en Libye.

Mais njRAT ne date pas d’hier. Il est accessible au public depuis juin 2013 et trois versions ont déjà été publiées. Toutes ces versions se propagent via des clés USB infectées ou des disques en réseau.

Si njRAT est si populaire au Moyen-Orient et en Afrique du Nord, c’est parce qu’il existe une grande communauté en ligne capable d’apporter son assistance sous la forme d’instructions et de tutoriels sur le développement de ce programme. Il semble aussi que l’auteur de ce malware soit originaire de la région.

La plupart des utilisateurs de njRAT seraient des amateurs voulant jouer des mauvais tours en ligne, par exemple l’espionnage par webcams ou la capture d’écrans d’ordinateurs de leurs victimes. Pourtant, des infections ont également été décelées sur les réseaux de plusieurs gouvernements et militants politiques.

Symantec a identifié 487 groupes de hackers ayant monté des attaques à l’aide de njRAT. A priori, leurs motivations sont diverses, mais peuvent être regroupées en trois catégories : le cyberactivisme, le vol de renseignements et la construction de réseaux d’ordinateurs zombies.

Puisque de nombreux pirates originaires du Moyen-Orient continuent d’utiliser njRAT en raison de son accessibilité, Symantec s’attend à ce qu’ils trouvent de nouveaux moyens de masquer le malware pour qu’il ne soit pas détecté par les logiciels anti-virus. Il est probable qu’ils continuent à utiliser njRAT puisque son auteur arabe, aidé d’une communauté arabophone, fournit toujours une assistance sur ce logiciel malveillant.

D’après Symantec, ces groupes finiront par ne plus utiliser d’outils accessibles au public comme njRAT et commenceront à développer leur propres programmes et d’autres outils d’accès à distance plus sophistiqués pour les cyberattaques.

Symantec qualifie cette menace de « Backdoor.Ratenjay »

Voir en ligne : http://appablog.wordpress.com/2014/...


Kanalreunion.com