ZUMKONG
ZUMKONG infostealer est un outil de piratage qui fait partie de l’arsenal du tristement célèbre APT37 (Advanced Persistent Threat). Ce groupe de piratage est également connu sous le pseudonyme ScarCruft. Des chercheurs de logiciels malveillants ont déterminé que ce groupe de personnes se situe en Corée du Nord et tente probablement de convaincre Kim Jong-Un d’être des mercenaires embauchés par le gouvernement. Par conséquent, il est logique que la plupart des victimes du groupe APT37 soient des organisations sud-coréennes et des personnes occupant des positions influentes.
Table des matières
Méthode de Propagation
Il est probable que le groupe de piratage ScarCruft utilise des campagnes de spam pour propager la plupart de ses menaces, ce qui semble être leur vecteur d’infection préféré. Les e-mails sont généralement adaptés avec soin, car ils ne visent pas les utilisateurs quotidiens, mais les employés de haut rang ou ceux qui travaillent dans de grandes entreprises d’organismes gouvernementaux. Le contenu de ces courriels est conçu pour donner une apparence authentique et inciter l’utilisateur à ouvrir un fichier muni potentiellement d'une macro, qui peut être joint au message.
Fonctionne avec le Cheval de Troie SLOWDRIFT
Après avoir étudié les campagnes impliquant l'infostealer de ZUMKONG, les experts en logiciels malveillants ont découvert que cette menace s'était propagée à l'aide d'un autre outil d'APT37 - le programme SLOWDRIFT. Ces deux menaces fonctionnent parfaitement à l'unisson: le cheval de Troie SLOWDRIFT infiltre le système ciblé, fournit aux attaquants des informations sur l'hôte et ceux-ci décident quel autre outil de piratage ils utiliseront dans cette opération. Dans ce cas, le groupe ScarCruft a choisi de déployer le logiciel malveillant ZUMKONG. SLOWDRIFT ouvre la voie à la machine de ZUMKONG pour compromettre le système en tant que charge utile de deuxième étape. Le groupe de piratage ScarCruft est connu pour avoir une affinité pour la furtivité. Il est donc probable que la victime ne détecte jamais les activités nuisibles du programme malveillant ZUMKONG.
Capacités
Les fonctionnalités du logiciel malveillant ZUMKONG ne sont encore complètement découvertes. Cependant, il est connu que cette menace peut collecter des données telles que:
- Cookies.
- Détails des paramètres de Google Chrome.
- Détails des paramètres d'Internet Explorer.
- Noms d'utilisateur et mots de passe.
Les données collectées sont siphonnées aux attaquants via le réseau d'un véritable service de messagerie russe appelé « mail.zmail.ru ».
Le groupe APT37 dispose d'une liste impressionnante d'outils qui ne cesse de s'étendre et, avec le financement du gouvernement nord-coréen, ces individus suspects vont certainement poursuivre leurs campagnes dans le futur.
