Appelé Trojan.APT.BaneChant, le malware est distribué via un document Word truqué avec un exploit envoyé lors d'attaques par mail ciblées. Le nom du document se traduit par "Islamic Jihad.doc."

[Plus d'informations: Comment faire pour supprimer les logiciels malveillants de votre PC Windows]

Attaque à plusieurs degrés

L'attaque fonctionne en plusieurs étapes. Le document malveillant télécharge et exécute un composant qui tente de déterminer si l'environnement d'exploitation est virtualisé, comme un sandbox antivirus ou un système d'analyse automatique de malware, en attendant de voir s'il y a une activité de la souris avant de lancer la seconde attaque. > La surveillance par clic de souris n'est pas une nouvelle technique d'évasion de détection, mais les logiciels malveillants qui l'utilisaient dans le passé vérifiaient généralement un seul clic de souris, a déclaré Rong Hwa. BaneChant attend au moins trois clics de souris avant de déchiffrer une URL et de télécharger un programme de porte dérobée qui se fait passer pour un fichier image.jpg, dit-il.

Le malware utilise également d'autres méthodes d'évasion. Par exemple, lors de la première étape de l'attaque, le document malveillant télécharge le composant dropper à partir d'une URL ow.ly. Ow.ly n'est pas un domaine malveillant, mais un service de raccourcissement d'URL.

L'utilisation de ce service a pour but de contourner les services de blacklisting d'URL actifs sur l'ordinateur ciblé ou sur son réseau, a indiqué Rong Hwa. (Voir aussi "Spammers abuse.gov URL shortener service dans les escroqueries de travail à domicile."

De même, lors de la deuxième phase de l'attaque, le fichier.jpg malveillant est téléchargé à partir d'une URL générée avec la dynamique No-IP Service DNS (Domain Name System).

Après avoir été chargé par le premier composant, le fichier.jpg supprime une copie de lui-même appelée GoogleUpdate.exe dans le dossier "C: ProgramData Google2 \". dans le dossier de démarrage de l'utilisateur afin de garantir son exécution après chaque redémarrage de l'ordinateur.

Ceci tente de faire croire aux utilisateurs que le fichier fait partie du service de mise à jour de Google, un programme légitime normalement installé "R: Program Files Google Update \", dit Rong Hwa

Le programme de porte dérobée récupère et télécharge les informations système sur un serveur de commande et de contrôle, ainsi que plusieurs commandes dont une à télécharger et à exécuter

Au fur et à mesure que les technologies de défense avancent, les logiciels malveillants Volves, a déclaré Rong Hwa. Dans ce cas, le logiciel malveillant a utilisé un certain nombre de trucs, y compris échapper à l'analyse de bac à sable en détectant le comportement humain, évitant la technologie d'extraction binaire au niveau réseau en effectuant un cryptage XOR multi-octet de fichiers exécutables, se déguisant en un processus légitime code malveillant chargé directement dans la mémoire et empêchant la liste noire automatisée des domaines en utilisant la redirection via le raccourcissement d'URL et les services DNS dynamiques, a-t-il déclaré.