Microsoft découvre des chevaux de Troie de Corée du Nord sur CyberLink

La société CyberLink, basée à Taiwan, vend une variété d’applications multimédia pour PC. Il s’agit notamment de programmes largement utilisés tels que PowerDVD et PhotoDirector 365. Quiconque utilise le logiciel du fabricant doit être sur ses gardes de nos jours. Le service de sécurité de Microsoft met en garde contre les cybermenaces, selon le site Internet bleepingcomputer.com avant de distribuer un logiciel espion nord-coréen via les canaux de mise à jour de CyberLink. En conséquence, un groupe de hackers basé en Corée du Nord appelé Diamond Sleet, également connu sous les noms de ZINC, Labyrinth Chollima et Lazarus, a détourné les serveurs de distribution de l’entreprise.

Le malware diffusé de cette manière se déguise en mise à jour régulière de CyberLink et est également accompagné d’un certificat d’authenticité du fabricant, afin que les programmes antivirus classiques ne déclenchent pas l’alarme. Selon le rapport, Microsoft a désormais placé le « label de qualité » utilisé à cet effet sur sa liste noire des certificats interdits afin d’en protéger les utilisateurs. Mais pour certains, cette étape arrive probablement trop tard. Selon Microsoft, le malware déployé par les pirates via CyberLink a déjà été repéré sur plus d’une centaine d’ordinateurs à travers le monde. Les utilisateurs au Japon, au Canada, à Taiwan et aux États-Unis sont entre autres concernés.

Seuls quelques ordinateurs sont protégés contre les attaques

Selon le rapport, le cheval de Troie exploite l’infrastructure des systèmes infectés qui ont déjà été compromis lors d’attaques précédentes du groupe de pirates informatiques. Plus précisément, le programme comprend un téléchargeur de logiciels malveillants appelé LambLoad. Seuls les systèmes exécutant les applications de cybersécurité FireEye, CrowdStrike ou Tanium en sont protégés. Si l’un de ces programmes est présent, le malware ne peut pas exécuter son code malveillant. Si l’ordinateur n’est pas correctement protégé, le logiciel injecté se connecte à un serveur et télécharge un composant espion déguisé en fichier PNG, qui est stocké dans la mémoire de l’ordinateur infecté.

Selon Microsoft, cette approche est typique du groupe de hackers nord-coréens. Dans le cadre de leurs attaques, ils se sont spécialisés dans le vol d’informations sensibles, l’infiltration d’environnements logiciels et l’obtention d’un accès permanent aux ordinateurs de leurs victimes. Microsoft a déclaré avoir informé CyberLink de l’incident. Cependant, une déclaration de l’entreprise est attendue.