Les chercheurs de l\u2019\u00e9diteur Europ\u00e9en de solutions de s\u00e9curit\u00e9, ont d\u00e9couvert un nouveau groupe de pirates qui vole des documents sensibles \u00e0 des gouvernements d\u2019Europe de l\u2019Est et des Balkans depuis 2011. Le groupe, qui n\u2019avait jusqu\u2019\u00e0 pr\u00e9sent fait l\u2019objet d\u2019aucune \u00e9tude, a recours \u00e0 l\u2019hame\u00e7onnage sur le th\u00e8me de la COVID_19.
\nNomm\u00e9 XDSpy par ESET, il a r\u00e9ussi \u00e0 \u00e9chapper \u00e0 quasiment toute d\u00e9tection pendant neuf ans, ce qui est rare. Le groupe d\u2019espionnage a compromis de nombreuses agences gouvernementales et entreprises priv\u00e9es. La d\u00e9couverte a \u00e9t\u00e9 pr\u00e9sent\u00e9e durant la conf\u00e9rence VB2020 localhost.<\/p>\n
\u00ab Le groupe a attir\u00e9 tr\u00e8s peu l\u2019attention du public jusqu\u2019\u00e0 pr\u00e9sent, \u00e0 l\u2019exception d\u2019un avis du CERT bi\u00e9lorusse en f\u00e9vrier 2020, \u00bb explique Mathieu Faou, le chercheur d\u2019ESET qui a analys\u00e9 le malware.
\nLes op\u00e9rateurs de XDSpy utilisent des emails d\u2019hame\u00e7onnage pour compromettre leurs cibles. Les emails sont l\u00e9g\u00e8rement diff\u00e9rents les uns des autres, car certains contiennent une pi\u00e8ce jointe, tandis que d\u2019autres contiennent un lien vers un fichier malveillant. Le premier niveau du fichier malveillant ou de la pi\u00e8ce jointe malveillante est g\u00e9n\u00e9ralement une archive ZIP ou RAR. Fin juin 2020, les op\u00e9rateurs ont intensifi\u00e9 leur campagne \u00e0 l\u2019aide d\u2019une vuln\u00e9rabilit\u00e9 dans Internet Explorer, CVE-2020-0968, qui avait \u00e9t\u00e9 corrig\u00e9e en avril 2020. \u00ab Le groupe a suivi la mouvance sur le COVID_19 pour ses campagnes de harponnage, au moins deux fois en 2020, dont une fois il y a seulement un mois, \u00bb ajoute M. Faou.<\/p>\n
\u00ab Comme nous n\u2019avons trouv\u00e9 aucune similitude avec d\u2019autres familles de malwares au niveau du code, et que nous n\u2019avons observ\u00e9 aucun chevauchement dans l\u2019infrastructure r\u00e9seau, nous en concluons donc que XDSpy est un groupe qui a r\u00e9ussi \u00e0 passer inaper\u00e7u jusqu\u2019\u00e0 pr\u00e9sent, \u00bb conclut M. Faou.
\nLes cibles du groupe XDSpy sont situ\u00e9es en Europe de l\u2019Est et dans les Balkans. Il s\u2019agit principalement d\u2019entit\u00e9s gouvernementales, notamment l\u2019Arm\u00e9e, des minist\u00e8res des Affaires \u00e9trang\u00e8res et des entreprises priv\u00e9es.<\/p>\n","protected":false},"excerpt":{"rendered":"
Les chercheurs de l\u2019\u00e9diteur Europ\u00e9en de solutions de s\u00e9curit\u00e9, ont d\u00e9couvert un nouveau groupe de pirates qui vole des documents sensibles \u00e0 des gouvernements d\u2019Europe de l\u2019Est et des Balkans…<\/p>\n","protected":false},"author":60,"featured_media":87881,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_lmt_disableupdate":"","_lmt_disable":"","_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[30],"tags":[2713,2716,2838],"class_list":["post-192137","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-high-tech","tag-eset","tag-malware","tag-xdspy"],"yoast_head":"\n