Hanoï met en garde contre le logiciel malveillant Valley RAT qui imite le « projet de résolution du 14e congrès du Parti ».

Il s'agit d'une ruse qui exploite le contexte politique actuel pour diffuser des logiciels malveillants, voler des informations et mettre en péril la sécurité des systèmes d'information des agences, des organisations et des particuliers.

Le logiciel malveillant Valley RAT imite un « projet de résolution du Congrès ».

Selon le Département de la cybersécurité et de la prévention de la cybercriminalité (Police de la ville de Hanoï ), le logiciel malveillant Valley RAT est dissimulé dans un fichier nommé « DRAFT RESOLUTION OF THE CONGRESS.exe ». Lorsque l'utilisateur ouvre ce fichier, le logiciel malveillant s'installe immédiatement dans le système, s'exécute automatiquement à chaque démarrage de l'ordinateur et se connecte au serveur de contrôle (C2) à l'adresse 27.124.9.13 (port 5689) contrôlé par le pirate informatique.

À partir de là, le logiciel malveillant peut effectuer des actions dangereuses : voler des informations sensibles sur l’ordinateur de l’utilisateur ; prendre le contrôle de l’ordinateur ; voler des comptes personnels et professionnels ; collecter des documents internes ; continuer à propager le logiciel malveillant à d’autres appareils du même système.

Le facteur dangereux est que l'interface du fichier est déguisée pour ressembler à un véritable document administratif, ce qui peut facilement induire les utilisateurs en erreur, notamment dans le contexte de nombreuses unités envoyant et recevant des documents pour les commenter.

De nouveaux fichiers malveillants connexes ont été découverts.

Grâce à une analyse approfondie, les autorités ont découvert de nombreux autres fichiers malveillants présentant des structures similaires, ressemblant à des documents administratifs courants : FINANCIAL REPORT2.exe ou BUSINESS INSURANCE PAYMENT.exe ; GOVERNMENT'S URGENT OFFICIAL DISPATCH.exe ; TAX DECLARATION SUPPORT.exe ; PARTY ACTIVITY EVALUATION DOCUMENT.exe ou AUTHORIZATION FORM.exe ; MINUTES OF REPORT FOR THE THIRD QUARTER.exe

Ces fichiers portent des noms faisant référence aux spécificités du travail de bureau, des finances, des affaires du parti, des impôts… ce qui augmente la probabilité que les utilisateurs les prennent pour des documents internes et les ouvrent, créant ainsi les conditions propices à la propagation de logiciels malveillants.

Suite à une analyse technique, la police de Hanoï a classé Valley RAT comme particulièrement dangereux en raison de ses caractéristiques qui en font une menace majeure : dissimulation au sein du système, démarrage automatique sous Windows ; possibilité pour les pirates de contrôler l’appareil à distance ; capacité à télécharger des logiciels malveillants supplémentaires ; collecte automatique de données sensibles et envoi à un serveur de contrôle ; aptitude à enregistrer les frappes au clavier, à prendre des captures d’écran et à voler les mots de passe enregistrés dans le navigateur ; et propagation aisée au sein du réseau interne.

De nombreuses agences et organisations utilisent la messagerie interne ou des applications comme Zalo et Facebook Messenger pour échanger des documents, créant ainsi involontairement un environnement propice à la propagation de logiciels malveillants si une seule machine du système est infectée. Afin de garantir la sécurité des informations, le Département de la cybersécurité et de la prévention de la cybercriminalité de la police de la ville de Hanoï a formulé des recommandations spécifiques :

N’ouvrez pas et ne téléchargez pas de fichiers suspects, notamment les fichiers .exe provenant de courriels ou de réseaux sociaux. Soyez particulièrement vigilant face aux fichiers ayant les extensions suivantes : .exe, .dll, .bat, .msi… Même si le fichier provient d’une connaissance (le compte a peut-être été piraté).

Vérifiez tous vos appareils et systèmes. En cas de signes inhabituels, déconnectez-vous immédiatement d'Internet, cessez d'utiliser l'appareil et signalez le problème aux autorités compétentes ou au Centre national de cybersécurité (NCSC).

Scannez votre système avec un logiciel de sécurité réputé. Les entreprises et les particuliers doivent installer préventivement un logiciel antivirus et antimalware tel que : Avast (gratuit), AVG (gratuit), Bitdefender (gratuit) ou Windows Defender (dernière mise à jour). À noter que la police de Hanoï a constaté que le logiciel antivirus gratuit Kaspersky n’a pas encore détecté ce type de logiciel malveillant.

Recherchez manuellement les signes d'attaque. Outre l'utilisation d'un antivirus et d'un pare-feu, il est nécessaire d'utiliser Process Explorer pour identifier les processus suspects sans signature numérique. Utilisez TCPView pour vérifier les connexions ; si vous détectez une connexion à l'adresse IP 27.124.9.13, vous devez intervenir immédiatement.

Les administrateurs système doivent bloquer immédiatement l'adresse IP malveillante. Les utilisateurs doivent configurer le pare-feu pour bloquer tout accès à l'adresse IP 27.124.9.13 afin d'empêcher le logiciel malveillant de se connecter au serveur de contrôle.

Renforcer les avertissements internes. Les unités doivent immédiatement informer les officiers et les employés de ne surtout pas ouvrir les documents joints aux commentaires si la source ne peut être vérifiée.

Il est important que la population prenne connaissance des informations officielles d'alerte et suive les recommandations du ministère de la Sécurité publique , du ministère de l'Information et des Communications et de la police locale. Il est déconseillé de partager des fichiers suspects sur les réseaux sociaux afin d'éviter leur propagation. Il est également essentiel de renforcer la vigilance pour protéger la sécurité du réseau national.

L'apparition du logiciel malveillant Valley RAT au moment précis des commentaires sur les projets de documents du 14e Congrès national du parti montre que les cyberattaquants exploitent sans scrupules la confiance des utilisateurs dans les documents politiques et administratifs.

La sécurité de l'information n'est pas seulement la responsabilité des organismes spécialisés, mais aussi le devoir de chaque utilisateur d'appareils numériques. Une identification correcte, une action rapide et un signalement opportun contribueront grandement à la protection du système national d'information et au maintien de la sécurité dans le cyberespace.