En juin 2021, nos spécialistes ont découvert un nouveau malware connu comme PseudoManuscrypt. Les méthodes utilisées par PseudoManuscrypt sont assez courantes pour un logiciel espion. Il agit comme un enregistreur de frappe, ce qui lui permet de recueillir des informations sur les connexions VPN établies et les mots de passe sauvegardés, de voler le contenu du presse-papiers, d’enregistrer le son grâce au microphone intégré (si l’ordinateur en a un) et de faire des captures d’écran. Une variante peut aussi voler les identifiants de connexion aux services de messagerie QQ et WeChat, enregistrer les vidéos et désactiver les solutions de sécurité. Ensuite, il envoie les données aux serveurs des cybercriminels.
Nous vous invitons à lire notre rapport ICS CERT pour obtenir plus de détails techniques sur cette attaque et pour connaître les indicateurs de compromission.
L’origine du nom
Nos experts ont trouvé quelques ressemblances entre cette nouvelle attaque et la campagne déjà connue Manuscrypt. Pourtant, l’analyse a révélé qu’un acteur complètement différent, du groupe APT41, a antérieurement utilisé une partie du code du malware dans ses attaques. Nous devons encore déterminer qui sont les responsables de cette nouvelle attaque, et pour le moment nous avons décidé de l’appeler PseudoManuscrypt.
Comment PseudoManuscrypt infecte le système
L’infection réussie dépend d’une succession d’événements assez complexes. L’attaque de l’ordinateur commence généralement lorsque l’utilisateur télécharge et exécute un malware qui se fait passer pour une archive d’installation piratée d’un célèbre programme.
Vous pouvez trouver l’appât utilisé par PseudoManuscrypt en recherchant un logiciel piraté sur Internet. Les sites qui distribuent des codes malveillants en utilisant des requêtes populaires sont très bien placés dans les résultats des moteurs de recherche, et il semblerait que les cybercriminels le savent bien.
Vous comprenez alors pourquoi il y a eu tellement de tentatives d’infection des systèmes industriels. En plus de présenter le malware comme un célèbre logiciel (suites Office, solutions de sécurité, systèmes de navigation et jeux de tir en 3D), les cybercriminels proposent aussi de fausses archives d’installation de logiciels professionnels, dont certains outils qui permettent d’interagir avec les automates programmables industriels (API) via ModBus. Résultat : un nombre anormalement élevé d’ordinateurs avec des systèmes de contrôle industriel (SCI) sont infectés (7,2 % du total).
L’exemple ci-dessus montre les résultats obtenus lorsque l’on recherche un logiciel destiné aux administrateurs système et aux ingénieurs réseau. En théorie, ce vecteur d’attaque pourrait permettre aux cybercriminels d’avoir pleinement accès à l’infrastructure de l’entreprise.
Les cybercriminels utilisent aussi un mécanisme de livraison de type malware en tant que service (MaaS) puisqu’ils paient d’autres escrocs pour distribuer PseudoManuscrypt. Cette pratique a donné lieu à une caractéristique intéressante que nos experts ont découverte lorsqu’ils analysaient la plateforme MaaS. PseudoManuscrypt était parfois associé à un autre malware que la victime installait en un paquet unique. L’espionnage est la finalité de PseudoManuscrypt mais les autres programmes malveillants peuvent avoir d’autres objectifs, comme le chiffrement des données pour demander le paiement d’une rançon.
Qui est victime de PseudoManuscrypt
PseudoManuscrypt a énormément été détecté en Russie, en Inde, au Brésil, au Vietnam et en Indonésie. Étant donné le nombre considérable de tentatives d’exécution du code malveillant, il faut savoir que les utilisateurs d’entreprises industrielles représentent une grande partie des victimes. Il s’agit notamment des responsables des systèmes d’automatisation, d’entreprises du secteur de l’énergie, de fabricants, d’entreprises de construction et même de fournisseurs de services pour les stations d’épuration. De plus, un nombre inhabituel d’ordinateurs infectés étaient impliqués dans des processus d’ingénierie et dans la production de nouveaux produits des groupes industriels.
Comment se protéger contre PseudoManuscrypt
Pour ne pas être victime de PseudoManuscrypt, vous devez avoir des solutions de protection fiables et régulièrement mises à jour sur tous les systèmes de l’entreprise. De plus, nous vous conseillons de mettre en place des politiques qui compliquent la désactivation de la protection.
Quant aux systèmes informatiques industriels, nous disposons d’une solution spécifique, Kaspersky Industrial CyberSecurity, qui protège les ordinateurs (y compris les plus spécialisés) et surveille les transferts de données qui ont des protocoles spécifiques.
N’oubliez pas que la formation du personnel est cruciale pour que tous connaissent les risques en cybersécurité. Vous ne pouvez pas complètement écarter l’éventualité d’une attaque d’hameçonnage particulièrement astucieuse, mais vous pouvez aider vos équipes à faire attention et vous pouvez les former sur les risques qu’ils prennent lorsqu’ils installent un programme non autorisé (surtout s’il est piraté) sur les ordinateurs ayant accès aux systèmes industriels.