Logiciel malveillant PyMicropsia

Le logiciel malveillant PyMicropsia est le nom donné par les chercheurs d'Infosec à une nouvelle souche de logiciels malveillants de collecte de données qui a été observée dans le cadre des opérations menaçantes d'AridViper, un groupe de pirates informatiques ciblé principalement par des organisations du Moyen-Orient. La menace, et la raison de son nom, a des liens étroits avec les précédents outils menaçants d'AridViper de la famille Micropsia, tels que les chevauchements de code et les similitudes dans son comportement et dans l'infrastructure de commande et de contrôle.

La menace dispose d'un large éventail de capacités de collecte de données. Une fois complètement établi sur le système informatique compromis, PyMicropsia peut récolter les fichiers Outlook.OST tout en étant capable de tuer ou de désactiver les processus Outlook. Les fichiers OST dans Outlook permettent aux utilisateurs de travailler dans un environnement hors connexion, toutes les modifications qu'ils ont apportées étant synchronisées avec le serveur Exchange la prochaine fois que l'utilisateur se connecte. La menace peut extraire des contacts, des tâches, des messages, des données de calendrier et d'autres informations de compte de ces fichiers. En outre, la menace peut également compromettre et collecter les informations d'identification du navigateur.

Les capacités menaçantes de PyMicropsia ne s'arrêtent pas là, cependant. Les hackers AridViper ont équipé le malware d'une gamme impressionnante de fonctionnalités menaçantes supplémentaires. La menace peut supprimer ou exfiltrer des fichiers, récupérer et télécharger des charges utiles supplémentaires, prendre des captures d'écran, établir des routines d'enregistrement de frappe, analyser des clés USB pour obtenir des informations, collecter des informations de liste et redémarrer le système infecté. Grâce à n'importe quel microphone connecté à l'ordinateur, PyMicropsia peut également démarrer l'enregistrement audio.

Bien que les pirates informatiques d'AridViper n'aient ciblé que les systèmes Windows de manière cohérente, les snippers de code inutilisés trouvés dans PyMicropsia indiquent qu'ils pourraient chercher à se développer actuellement. Les chercheurs d'Infosec ont découvert que plusieurs sections de code trouvées dans PyMicropsia indiquent que la menace pourrait bientôt devenir encore plus puissante. Les fonctions sont chargées d'effectuer une vérification de POSIX, de l'interface du système d'exploitation portable et de Darwin, un système d'exploitation de type Unix open source.