DÉFINITION DU VIRUS
Type de virus : menace persistante avancée (APT)
Qu’est-ce que Hellsing ?
Hellsing est un petit groupe de cyberespionnage ciblant principalement des organisations diplomatiques et gouvernementales en Asie. L’analyse approfondie de la cybermenace Hellsing réalisée par Kaspersky Lab révèle la présence d’e-mails de phishing ciblés contenant des pièces jointes malveillantes conçues pour propager des programmes d’espionnage malveillants au sein de différentes organisations. Si une victime ouvre une pièce jointe malveillante, son système est infecté par un backdoor personnalisé capable de télécharger des fichiers, de se mettre à jour et de se désinstaller.
Qui sont les victimes de ces attaques ?
Kaspersky Lab a détecté et bloqué des programmes malveillants Hellsing en Malaisie, aux Philippines, en Inde, en Indonésie et aux États-Unis, la plupart des victimes se trouvant en Malaisie et aux Philippines.
Est-ce que je cours un risque ?
Vous pourriez être la cible de Hellsing si vous êtes concernés par les facteurs de risque suivants :
Facteurs de risque :
- Vous travaillez avec/pour des gouvernements dans la région APAC
- Vous recevez et lisez des centaines d’e-mails et ouvrez les pièces jointes
- Vous avez reçu des fichiers .scr suspects dans des dossiers compressés RAR/ZIP protégés par un mot de passe
Comment savoir si je suis infecté ?
Les signes d’infection par une attaque Hellsing sont mis à votre disposition sur Securelist.com
Les produits de Kaspersky Lab détectent les backdoors utilisés par les pirates Hellsing, à savoir : HEUR:Trojan.Win32.Generic, Trojan-Dropper.Win32.Agent.kbuj, Trojan-Dropper.Win32.Agent.kzqq.
Comment puis-je me protéger ?
Afin de vous protéger contre les attaques Hellsing, assurez-vous de suivre les meilleures pratiques de base suivantes en matière de sécurité :
- N’ouvrez pas les pièces jointes envoyées par des personnes que vous ne connaissez pas
- Analysez régulièrement votre PC avec une solution avancée de protection contre les programmes malveillants
- Faites attention aux dossiers compressés protégés par un mot de passe contenant des fichiers SCR ou d’autres fichiers exécutables
- En cas de doute concernant la pièce jointe, essayez de l’ouvrir dans une sandbox
- Assurez-vous d’utiliser un système d’exploitation récent et d’en avoir installé tous les correctifs
- Mettez à jour toutes les applications tierces, par exemple Microsoft Office, Java, Adobe Flash Player et Adobe Reader