Crisis Malware infecte les machines virtuelles VMware, disent les chercheurs

Crisis est un programme de Troie informatique destiné aux utilisateurs Mac OS et Windows. Le malware a été découvert par le fournisseur d'antivirus Intego le 24 juillet et peut enregistrer des conversations Skype, capturer le trafic des programmes de messagerie instantanée comme Adium et Microsoft Messenger pour Mac et suivre les sites Web visités dans Firefox ou Safari. Tromper les utilisateurs dans l'exécution d'une applet Java malveillante. L'applet identifie le système d'exploitation de l'utilisateur - Windows ou Mac OS X - et exécute l'installateur correspondant

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

"La menace recherche une image de machine virtuelle VMware sur l'ordinateur compromis et, s'il trouve une image, il monte l'image et se copie ensuite sur l'image en utilisant un outil VMware Player ", a déclaré Takashi Katsuki, chercheur de Symantec, dans un article publié lundi. "

Les chercheurs en sécurité du fabricant d'antivirus Kaspersky Lab, dont les produits détectent le malware Crisis sous le nom de Morcut, ont confirmé l'existence de cette fonctionnalité dans le programme de Troie.

"Cette fonction permet à Morcut de voler et d'intercepter des données provenant de machines virtuelles, y compris les informations financières utilisées pour les achats en ligne", a déclaré Sergueï Golovanov, expert en logiciels malveillants de Kaspersky Lab par courriel mardi.

Les versions de leurs programmes de Troie ne sont pas détectées par les produits antivirus lors de leur sortie.

En réponse, certains utilisateurs soucieux de la sécurité effectuent des opérations bancaires en ligne, des achats en ligne et d'autres activités potentiellement sensibles à partir de machines virtuelles. Cela leur permet d'utiliser une installation de système d'exploitation qui ne risque pas d'être altérée par des logiciels malveillants chaque fois qu'ils doivent effectuer de telles tâches.

De nombreuses menaces de logiciels malveillants contiennent des routines qui empêchent leur exécution dans les machines virtuelles. Ceci est fait afin d'empêcher l'analyse par les chercheurs en sécurité, qui utilisent couramment des environnements virtualisés pour observer ce que font les programmes malveillants.

Morcut ne le fait pas, a déclaré Golovanov. "[Son] objectif est d'avoir accès à autant de systèmes que possible pour voler le maximum d'informations."

"Cela pourrait être le prochain bond en avant pour les auteurs de logiciels malveillants", a déclaré Katsuki. Pour les machines virtuelles, la version Windows de Crisis installe également des modules non fiables sur les appareils Windows Mobile connectés à des systèmes compromis.

Cependant, les chercheurs de Symantec ne savent pas encore ce que font ces modules. "Nous n'avons actuellement pas de copies de ces modules et nous les recherchons donc pour pouvoir les analyser plus en détail", dit Katsuki.

Le nombre d'ordinateurs infectés par Crisis / Morcut n'est pas très élevé en ce moment. Kaspersky Lab a identifié un total de 21 victimes situées en Italie, au Mexique, en Iran, en Turquie, en Irak, à Oman, au Brésil, au Kazakhstan, au Kirghizistan et au Tadjikistan, a indiqué Golovanov. "

Des chercheurs en sécurité d'Intego ont déjà dit que des sections de code de Crisis suggéraient une connexion avec un programme de Troie commercial développé par une société italienne appelée HackingTeam et licence aux agences d'application de la loi et de renseignement à des fins de surveillance

Le faible nombre d'infections et leur large distribution géographique pourraient suggérer que ce malware est utilisé dans des attaques ciblées plutôt que généralisées.