de l’attaque de quelques victimes en Syrie, qu’a été détecté Casper pour la première fois. Les hackers ont utilisé l’Exploit zéro-day pour infiltrer la faille CVE-2014-0515, niché dans le plugin Adobe Flash. Ce qui les a aidés à connaître les détails de la machine infectée et de pouvoir décider des prochaines étapes, le tout sans se faire remarquer.
« Un fait intéressant est que ces exploits ont été hébergés sur un site appartenant au Ministère de la Justice syrienne : jpic.gov.sy, site internet créé par le gouvernement syrien qui sert aux habitants à envoyer leurs plaintes. Il existe toujours mais a été nettoyé. Par ailleurs, le logiciel espion Casper était aussi hébergé sur ce même site pour y déployer des plugins qui s’étaient exécutés sur la machine. » explique le chercheur en logiciels malveillants d’ESET, Joan Calvet.
Basés sur les observations et analyses des logiciels malveillants, les chercheurs ESET confirment que le code correspond à ceux utilisés par Babar et Bunny. Mais Casper a franchi une étape supplémentaire en adaptant sa stratégie en fonction du logiciel de sécurité installé sur les machines ciblées. C’est pour cela que pratiquement aucun antivirus ou logiciel de sécurité online n’a été capable de le détecter, excepté ESET LiveGrid®. Malgré son aspect très sophistiqué, le malware n’a attaqué que très peu de gens à ce jour, tous localisés en Syrie.
Pour en savoir plus, lisez le rapport de Joan Calvet sur WeLiveSecurity.com.