Windshift APT

Par GoldSparrow en Advanced Persistent Threat (APT)

Se traduisent par :

Le mythe selon lequel les ordinateurs Mac n'attrapent pas de virus n'est que cela : un mythe. La réalité est que les virus Mac sont tout simplement moins courants. Ils existent toujours, mais les groupes de piratage ne font pas de leur création une priorité. De temps en temps, cependant, un groupe comme WindShift arrive.

WindShift est ce qui est considéré comme une APT (Advanced Persistent Threat). Ce sont des groupes que les chercheurs en sécurité connaissent et suivent. L'infrastructure, les outils et les cibles d'un APT sont généralement bien connus car ils sont examinés de très près. Certains groupes sont plus furtifs et capables d'opérer discrètement sans être suivis. Il est plus difficile de garder un œil sur ces groupes. WindShift fait partie de ces groupes et, selon les chercheurs, est opérationnel depuis 2017 au plus tôt.

Le WindShift APT se concentre principalement sur les opérations de reconnaissance. Le groupe s'est engagé auprès de grandes cibles comme les gouvernements et les organisations, mais semble également viser des cibles spécifiques choisies à l'avance. La chose intéressante à propos de leurs cibles est qu'elles semblent complètement indépendantes. Les chercheurs en cybersécurité n'ont pas encore trouvé de lien de connexion unique entre les cibles. WindShift adopte également une approche différente de celle des autres groupes. Contrairement aux autres groupes, le groupe ne s'appuie pas autant sur les logiciels malveillants et les rançongiciels pour obtenir les informations qu'il recherche. Au lieu de cela, cet APT utilise une ingénierie sociale sophistiquée pour obtenir subtilement des données à partir de cibles. La plupart des cibles ne réalisent même pas que quelque chose ne va pas jusqu'à ce qu'il soit trop tard.

C'est grâce à cette dépendance à la furtivité que le groupe peut effectuer des opérations pendant de longues périodes sans se faire prendre. Les campagnes WindShift sont connues pour durer des mois à la fois. Les experts suggèrent que certaines des cibles atteintes par WindShift ont été observées pendant des mois avant que le groupe ne commence de véritables opérations de piratage. WindShift y parvient en utilisant de faux comptes de médias sociaux, en organisant des discussions avec des cibles sur des sujets pertinents et en créant du contenu attrayant grâce à de fausses publications. Ils se connectent avec leurs cibles pour gagner la confiance et faciliter la phase d'attaque proprement dite.

Le groupe utilise également une gamme d'outils analytiques pour étudier et observer les individus, y compris leurs habitudes de navigation et leurs intérêts. Ils peuvent utiliser ces informations pour poursuivre leurs campagnes d'ingénierie sociale et acquérir encore plus de connaissances. WindShift a utilisé à la fois des outils accessibles au public et des utilitaires qu'ils ont eux-mêmes créés. Une façon pour le groupe de recueillir des informations sur les choses que leurs cibles aiment est de leur envoyer des liens vers des pages Web légitimes.

Les pirates tenteront d'obtenir les identifiants de connexion d'une cible une fois qu'ils auront suffisamment d'informations pour travailler. Le groupe a utilisé Apple iCloud et Gmail, entre autres, pour obtenir les informations d'identification de leurs cibles. Le groupe envoie à sa cible un message l'alertant qu'elle doit réinitialiser son mot de passe. La cible est envoyée vers une page qui semble légitime mais qui est une page de récupération usurpée conçue pour voler des informations. Si la cible ne tombe pas dans le piège, WindShift passe aux outils de piratage pour obtenir les informations qu'elle souhaite.

En plus d'utiliser des outils accessibles au public, Windshift a créé plusieurs outils et menaces de piratage personnalisés, tels que les suivants :

WindDrop - Un téléchargeur de chevaux de Troie conçu pour les systèmes Windows, qui a été repéré pour la première fois en 2018.
WindTail - Un logiciel malveillant conçu pour les systèmes OSX, qui collecte des types de fichiers spécifiques ou des fichiers portant certains noms correspondant à ses critères. Il est également capable de planter des logiciels malveillants supplémentaires sur le système compromis.
WindTape - Un cheval de Troie de porte dérobée conçu pour les systèmes OSX qui est capable de prendre des captures d'écran.

Ces outils ont des fonctionnalités avancées, telles que la possibilité de manipuler les paramètres DNS et d'envoyer les utilisateurs vers différentes pages Web. WindShift peut contrôler les connexions Internet des systèmes compromis et les envoyer à d'autres sites Web à la place. Ces sites Web sont conçus pour ressembler à la réalité et sont utilisés pour obtenir des identifiants de connexion et des informations supplémentaires auprès des cibles.

WindShift APT est sans aucun doute l'un des groupes de piratage les plus inhabituels. Le groupe a une approche différente de ses cibles et de ses attaques que les autres APT connus. Le groupe s'appuie fortement sur l'ingénierie sociale et cible principalement les ordinateurs Mac. C'est ce qui en fait une telle énigme dans le monde du piratage. Les chercheurs en sécurité tentent toujours de déterminer leurs procédures opérationnelles et leurs motivations. Pourtant, le groupe prouve définitivement que votre Mac n'est pas aussi immunisé contre les virus que vous le pensez.

Rechercher

Changer de région

Windshift APT

Soumettre un Commentaire

Tendance

Arnaque par e-mail « YouPorn »

Safe Search Eng

MonWallPaper

Le plus regardé

Est-ce que Lookmovie.io est sûr ?

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran