Pour gérer vos consentements :

Furtim, un malware paranoïaque de la sécurité

La société EnSilo, spécialisée en sécurité informatique, a découvert et analysé un malware qui fait beaucoup d’efforts pour ne pas se faire remarquer. Une attention compulsive pour se cacher auquel la société a été sensible au point de le baptiser, Furtim, nom latin pour furtif. Il a traqué ce logiciel malveillant pour remonter à certains serveurs de commandes et contrôle basés en Russie qui renvoie une adresse IP Ukrainienne.

Si la firme n’a pas réussi à découvrir la façon dont le malware se répand ou comment il arrive à infecter le terminal, il n’en demeure pas moins que le mode opératoire de Furtim est unique. Dès son installation, le malware vérifie la présence d’environnement virtualisé ou de sandbox, des outils utilisés par les spécialistes en sécurité pour détecter les logiciels malveillants. De plus, Furtim met en place des filtres pour savoir quelle solution de sécurité est présente sur l’appareil. Méticuleux, il a dans son portefeuille des filtres pour 400 produits de sécurité « des plus connus aux plus ésotériques », explique EnSilo, dans un blog. S’il en détecte au moins un, Furtim interrompt son installation.

Bloquer tout ce qui touche à la sécurité

En cas d’installation, il s’attaque rapidement à la partie réseau en scannant les interfaces pour voir s’il y a du filtrage DNS. Si c’est le cas, il remplace les nameservers par des nameservers publics (fournis par Google et Level 3). Il en profite pour bloquer l’accès à 250 sites liés à l’information sur la sécurité (antivirus, firewall, etc.), y compris des forums d’aide en ligne comme Bleepingcomputer.com. Furtim va encore plus loin en désactivant les notifications Windows, les pop-up, l’accès aux lignes de commande et le gestionnaire des tâches.

Selon les experts de EnSilo, Furtim joue le rôle d’éclaireur, il prépare le terrain pour mener des attaques élaborées. Une fois installé, il récolte un maximum d’informations sur le terminal infecté et les renvoie aux serveurs C&C. Les spécialistes ont découvert 3 types de charges placées par Furtim. La première est un outil de configuration de l’autonomie d’un terminal, l’objectif étant de laisser le PC en veille pour qu’il puisse communiquer avec le serveur C&C. La seconde implantation est d’un logiciel dédié au vol de données (mot de passe, identifiants, etc.), nommé Pony Stealer. Enfin, le troisième élément est pour l’instant inconnu car EnSilo n’a pas été en mesure de l’analyser en profondeur.

Il y a donc encore des travaux à mener sur ce malware : modus operandi, cible, commanditaires. Une chose est sûre, le fait de l’avoir découvert et d’en parler ne plaît pas tout le monde. A la suite de la publication du blog, le site de EnSilo a été victime d’une attaque DDoS l’obligeant à disparaître temporairement.

A lire aussi :

Cybersécurité : un malware menace les échanges bancaires via Swift
Malware museum : la nostalgie des virus s’expose

Crédit Photo :  Ollyy-Shutterstock

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

14 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

15 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

18 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

22 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

24 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago