La situation est très préoccupante selon Kaspersky : un malware presque invisible sévirait sur les serveurs Windows utilisés par des banques, des organisations gouvernementales et opérateurs de télécom. Pour l'instant, on estime à plus de 140 le nombre d'entreprises infectées, réparties dans plus de 40 pays.
Le malware en question s'appuie sur la back door Meterpreter ainsi que le collecteur de mot de passe Mimikatz, deux outils utilisés dans Metasploit, une plateforme de sécurité généralement utilisée pour des tests de vulnérabilité.
Quand un pirate réussit à installer le malware dans un serveur, ce dernier lance un script qui écrit directement dans la base de registre de la machine afin d'ouvrir la back door. Les communications sont établies avec la commande Netsh et les pirates peuvent ensuite accéder à distance aux serveurs.
Puisque ce sont les outils standard de Windows qui sont utilisés tout du long et que les activités ne génèrent aucun log ni n'entrainent de création de fichiers, le malware est presque invisible. Seule une analyse de la RAM permet de le mettre en évidence.
Kaspersky n'indique pas pour l'instant qui est à l'origine du malware ni quels sont ses objectifs principaux. On sait toutefois qu'il permettait d'accéder aux distributeurs de billets de banque, ce qui laisse supposer d'une fraude ciblant avant tout les banques.
