Excellente étude (65 pages) de Kaspersky sur #Careto alias #The_Mask, le nouveau #malware espion à la mode. Après Duqu et Flame, voici un nouveau logiciel malveillant qui se glisse dans les ordinateurs, copie tout ce qui lui semble intéressant et l’envoie à son maître.
▻http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf
Kaspersky dit qu’il existe des versions MacOS et Linux (voire Android) de Careto mais ne décrit que la version Windows dans cet article. Prudence, donc. De même, Kaspersky raconte qu’ils ont pu mettre la main sur un des C&C mais ne publie pas d’analyse des fichiers comme commcgi.cgi
Le logiciel est globalement très perfectionné sauf sur un point : pour localiser le C&C, il se contente d’un nom de domaine et d’un seul. Pas de DGA (Domain Generation Algorithm), ce qui rend trivial l’arrêt du service.
L’origine espagnole du logiciel est déduite de termes argotiques hispanophones utilisés. (Cela change de l’hébreu ou du chinois qu’on trouve d’habitude.) Comme chaque pays hispanophone a un argot différent, il serait intéressant qu’un linguiste expert se penche sur les mots présents dans le logiciel et affine le diagnostic sur son origine.
Les machines infectées étant surtout à Cuba et au Venezuela, il ne reste plus, pour identifier l’auteur, qu’à chercher un pays ayant de mauvaises relations avec Cuba et le Venezuela, et peuplé de nombreux hispanophones.