Le malware DEEPDATA exploite une faille non corrigée de Fortinet, exposant les identifiants VPN au cyberespionnage

Des chercheurs en cybersécurité ont découvert une nouvelle menace importante visant le VPN FortiClient de Fortinet, mettant en évidence les capacités alarmantes du malware connu sous le nom de DEEPDATA. Cette attaque sophistiquée, attribuée au groupe de menaces BrazenBamboo, exploite une vulnérabilité zero-day pour voler des identifiants VPN sensibles, exposant les entreprises et les particuliers à un risque accru d'espionnage et de vol de données.

Comment DEEPDATA exploite la vulnérabilité Fortinet

Révélée par la société de cybersécurité Volexity, DEEPDATA exploite une vulnérabilité jusqu'alors inconnue dans FortiClient pour Windows pour récupérer les identifiants VPN directement à partir de la mémoire. Cette faille, signalée à Fortinet en juillet 2024, n'a toujours pas été corrigée au moment de la rédaction de cet article. Cette vulnérabilité non corrigée permet aux attaquants d'exploiter le logiciel VPN populaire de Fortinet pour obtenir un accès non autorisé aux réseaux d'entreprise, ce qui pourrait permettre une infiltration et un vol de données supplémentaires.

Au cœur de DEEPDATA se trouve un chargeur de bibliothèque de liens dynamiques (DLL), data.dll, qui décrypte et active 12 plugins malveillants via un module orchestrateur appelé frame.dll. Un plugin, ciblant spécifiquement FortiClient, extrait les identifiants VPN, offrant aux attaquants une prise d'assaut furtive dans les environnements compromis.

DEEPDATA : un nouveau niveau d'espionnage

Les fonctionnalités de DEEPDATA font partie d'une boîte à outils plus vaste conçue par BrazenBamboo, un groupe étroitement lié à l'acteur de la menace APT41 associé à la Chine. La suite de logiciels malveillants s'appuie sur des frameworks antérieurs comme LightSpy, une plate-forme de logiciels espions polyvalente ciblant macOS, iOS et Windows.

Les principales caractéristiques de DEEPDATA et de ses outils associés sont les suivantes :

  • Vol d'informations d'identification : capture les informations d'identification des applications de communication populaires telles que WhatsApp, Telegram, Signal et KeePass.
  • Exfiltration de données : collecte les détails du navigateur Web, les mots de passe des applications, les données des points d'accès Wi-Fi et les informations sur les logiciels installés.
  • Surveillance persistante : maintient un accès furtif et à long terme aux appareils cibles pour un espionnage complet.

Ce malware multifonctionnel met en évidence une attention méticuleuse portée aux plateformes de communication, les attaquants privilégiant la furtivité et la persistance pour maximiser les opportunités de collecte de renseignements.

DEEPPOST et LightSpy : des outils complémentaires pour les attaques avancées

L'arsenal cybernétique de BrazenBamboo ne s'arrête pas à DEEPDATA. Son outil DEEPPOST facilite l'exfiltration de données, permettant aux attaquants de transférer des fichiers volés vers des serveurs distants. Parallèlement, le framework LightSpy, opérationnel depuis 2022, fait preuve d'une modularité avancée, en utilisant des plugins spécialisés pour :

  • Enregistrer des séquences webcam.
  • Exécuter des commandes via un shell distant.
  • Collectez des données audio, des frappes au clavier et du navigateur.
  • Capturez des images d'écran et inventoriez les logiciels installés.

L'architecture de LightSpy pour les variantes Windows, déployée via un programme d'installation personnalisé, suggère que son développement fait partie d'un effort systématique et bien financé pour créer des outils de piratage sur mesure.

Conséquences pour la cybersécurité et l’espionnage

Le chevauchement des codes et des infrastructures entre DEEPDATA et LightSpy suggère que ces familles de malwares pourraient provenir d’entreprises privées chargées de développer des outils pour des acteurs étatiques. Des entreprises telles que Chengdu 404 et I-Soon sont de parfaits exemples d’organisations impliquées dans la conception d’outils cybernétiques offensifs à l’usage des gouvernements.

La découverte de DEEPDATA met en évidence la tendance croissante des frameworks de malware modulaires conçus pour des capacités multiplateformes. Cette approche permet aux acteurs de la menace comme BrazenBamboo d'adapter leurs outils à divers systèmes d'exploitation et environnements, garantissant ainsi la longévité et l'efficacité opérationnelles.

Mesures urgentes pour la protection

Compte tenu du risque permanent posé par DEEPDATA et de la vulnérabilité non corrigée de Fortinet, il est essentiel que les organisations et les utilisateurs prennent des mesures immédiates pour atténuer les dommages potentiels :

  1. Surveillez les correctifs : restez informé des correctifs de sécurité de Fortinet et appliquez-les dès qu'ils sont disponibles.
  2. Améliorez la surveillance du réseau : implémentez des solutions robustes de détection et de réponse aux points de terminaison (EDR) pour identifier les activités inhabituelles.
  3. Effectuer des audits d’informations d’identification : modifiez régulièrement les informations d’identification VPN et surveillez les tentatives d’accès non autorisées.
  4. Réseaux de segments : limitez l’accès aux ressources critiques pour minimiser l’impact des informations d’identification compromises.

Le malware DEEPDATA souligne l'importance des vulnérabilités non résolues dans les logiciels les plus utilisés. Alors que les acteurs malveillants comme BrazenBamboo continuent d'affiner leurs outils, les entreprises doivent rester vigilantes, en utilisant des défenses multicouches et une gestion proactive des vulnérabilités pour contrer les cybermenaces avancées.

Le temps presse pour corriger la faille Fortinet : les entreprises et les particuliers doivent agir rapidement pour protéger leurs données sensibles et leurs actifs numériques.

Par Zane
November 20, 2024
Malware
Français
November 20, 2024
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.