FSI agrinet - Attention au nouveau malware de DNSpionage : Karkoff

mardi, 30 avril 2019 10:54

Attention au nouveau malware de DNSpionage : Karkoff

Taille de police Réduire la taille de la police Augmenter la taille de police
Soyez le premier à commenter!

Évaluer cet élément

(0 Votes)

Cher partenaire,

Dernièrement, une campagne d'attaque a été portée par des trafics HTTP et DNS vers un serveur de « Commande & contrôle » malveillant. En effet, il s’agit des machines infectées par un nouveau malware de « DNSpionage » baptisé « Karkoff ». Les analyses ont révélé que l’origine de l’infection a été des macros malveillants incorporés dans un document Microsoft Word ou Excel et envoyés aléatoirement via des courriers électroniques aux victimes. Une fois la victime ouvre la pièce jointe, « Karkoff » commence une phase de reconnaissance sur la version du système d’exploitation, les processus en cours d’exécution, les comptes utilisateurs, l’anti-virus installé, évite intelligemment d’être analysé par les outils de « Sandboxing » et permet aux attaquants d’exécuter du code arbitraire à distance depuis leur serveur C & C. En outre, Karkoff génère un fichier journal sur les systèmes de la victime contenant la liste de toutes les commandes exécutées avec un horodatage.

Pour s’en protéger, nous vous conseillons d’être vigilant et de suivre les mesures préventives suivantes :

Auditer et scanner votre système d’information afin de déterminer les failles puis procéder à les corriger en installant les patchs correctifs depuis les sources officielles.
Mettre en place des packs de sécurité pour la détection des intrusions (IPS / NIDS) et de contrôle de la bande passante de trafic réseau.
Mettre à jour vos systèmes d’exploitation, vos navigateurs Web et aussi les solutions anti-malwares que vous utilisez.
Implémenter un système de validation des enregistrements DNS (Domain-Based Message Authentication, Reporting & Conformance : DMARC) pour minimiser la réception des Spams et détecter les tentatives d’usurpation des e-mails.
Désactiver immédiatement les macros dans les fichiers Office(Lien).
Vérifier l'authenticité des expéditeurs avant la lecture de chaque message reçu par e-mail ou affiché sur votre mûr de Facebook / Twitter / Instagram et en cas de doute n’y répondez pas, ne cliquez pas sur les liens hypertextes ou les images qu’il contient et supprimer le immédiatement.
Appliquer des règles de filtrage rigoureuses pour sécuriser l’administration de vos serveurs à distance, l’accès aux partages réseaux et s’assurer de la robustesse des mots de passe des comptes utilisateurs et des administrateurs.
Blacklister les adresses IP suivantes : 107.161.23.204 - 192.161.187.200 et 209.141.38.71
Source(s) d'informations:

- Cisco Talos Intelligence
https://blog.talosintelligence.com/..

Lu 1572 fois