DÉFINITION DU VIRUS
Type de virus : menace persistante avancée, cheval de Troie, programme malveillant, APT, DAB, chevaux de Troie ciblant les services bancaires, phishing ciblé, cybercriminalité
Qu'est-ce que GCMAN ?
GCMAN est un groupe de pirates qui utilisent des techniques APT et des outils de test de pénétration légitimes pour infecter des réseaux informatiques et tenter de dérober des fonds en transférant de l'argent à partir d'établissements financiers vers des services de traitement de devises en ligne. Le programme malveillant a été compilé à l'aide d'un compilateur GCC, une rareté parmi les auteurs de programmes malveillants.
Que peut-il faire ?
Au départ, le mécanisme d'infection est géré via une attaque de phishing ciblé. Des e-mails contenant une archive RAR malveillante cible un établissement financier. À l'ouverture de l'archive RAR, un fichier exécutable est lancé en lieu et place d'un document Microsoft Word, entraînant ainsi l'infection. Le groupe implante un programme cron dans le serveur de la banque afin de générer des transactions financières à la vitesse de 200 dollars par minute.
Qui sont les victimes de ses attaques ?
Les victimes se limitent aux établissements financiers.
Est-ce que je cours un risque ?
Vous faites partie d'un groupe à risques si votre entreprise appartient à la catégorie ci-dessus. Assurez-vous d'utiliser des solutions de protection contre les programmes malveillants avancées et de demander conseil auprès d'une entreprise de sécurité fiable.
Comment savoir si je suis infecté ?
Les produits Kaspersky Lab détectent et bloquent efficacement le programme malveillant utilisé par la menace GCMAN à l'aide des noms de détection suivants :
Backdoor.Win32.GCMan; Backdoor.Win64.GCMan; Trojan-Downloader.Win32.GCMan
L'entreprise a également publié des Indicateurs de compromission (IOC) ainsi que d'autres données afin d'aider les organisations à rechercher des traces de ces groupes d'attaques dans leurs réseaux d'entreprise.
Comment puis-je me protéger ?
Le seul moyen de découvrir une tentative d'effraction ou une pénétration du périmètre consiste à analyser les schémas de comportement et essayer de détecter une attaque en identifiant un criminel dans un flux d'activités type au sein du réseau d'entreprise.
Pour assurer votre sécurité, veillez à utiliser des solutions de protection contre les programmes malveillants avancées telles que Kaspersky Endpoint Security for Business. Sensibilisez-vous également à la cybersécurité afin d'être certain d'identifier des e-mails de phishing dans votre boîte de réception.
Pour renforcer le niveau de protection, les organisations doivent utiliser la fonction Surveillance du système qui intègre le module BSS (Behavior Stream Signatures - signatures de courant de comportement). Il est inclus dans tous les produits et solutions actuels.
Il va de soi que proposer simplement des couches diverses et variées de sécurité des terminaux puissantes n’est pas suffisant. Le phishing ciblé est l'une des techniques d'infection initiale les plus répandues. Il est donc indispensable de disposer d'une solution de sécurité de messagerie fiable. Kaspersky Security for Mail Server analyse les e-mails entrants en recherchant les pièces jointes et les URL malveillantes, ce qui réduit considérablement la probabilité qu'un programme malveillant n'atteigne ses victimes.