Récemment découvert, NordDragonScan est un malware spécifiquement conçu pour les systèmes Windows. Son objectif : collecter discrètement des informations et des fichiers sensibles de sa victime.
Analysé par les experts de Fortinet, le fonctionnement de NordDragonScan combine des techniques d’intrusion et d’exfiltration de données en s'appuyant sur des outils natifs du système de Microsoft.
Il cartographie le réseau…
La diffusion de NordDragonScan s’effectue par l’envoi de fichiers compressés au format RAR, accessibles via des liens raccourcis. À l’ouverture, l’utilisateur déclenche un raccourci LNK, lequel exécute un script HTA par l’intermédiaire de mshta.exe, un utilitaire Windows légitime. Cette action se déroule en arrière-plan, tandis qu’un document leurre est présenté à l’écran pour détourner l’attention.
Une fois installé, le programme interroge l’environnement système à l’aide de la plateforme .NET et de WMI (Windows Management Instrumentation). Il extrait des informations détaillées telles que le nom de la machine, l’utilisateur actif, la version de Windows, l’architecture matérielle, la quantité de mémoire vive, le nombre de processeurs et la liste des pilotes présents. L’analyse s’étend aux interfaces réseau, avec identification de l’adresse IPv4 principale et du masque de sous-réseau. Le logiciel sonde ensuite chaque adresse du sous-réseau pour dresser un inventaire des hôtes accessibles, ce qui peut servir à cartographier le réseau local ou préparer des actions ultérieures.
…… à la recherche de documents
NordDragonScan cible des répertoires spécifiques : Bureau, Documents et Téléchargements. Il copie les fichiers portant certaines extensions (.docx, .doc, .xls, .ovpn, .rdp, .txt, .pdf) ainsi que les profils utilisateurs des navigateurs Chrome et Firefox. Une capture d’écran de la session en cours est également enregistrée.
Toutes les données collectées sont regroupées dans un dossier temporaire situé dans le répertoire %LOCALAPPDATA%. L’exfiltration s’opère via une connexion chiffrées TLS vers un serveur distant, identifié sous le domaine kpuszkiev.com. Le transfert utilise des en-têtes HTTP personnalisés et transmet notamment l’adresse MAC du poste. Le malware récupère aussi une URL dynamique pour l’envoi des fichiers volés. Notons qu'en plus, pour assurer sa persistance, il inscrit une clé dans le registre Windows, afin d'être discrètement lancé à chaque démarrage.
- moodEssai 30 jours
- devices3 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
Bitdefender continue sur la lancée des versions précédentes avec une efficacité toujours à toute épreuve. Pour détecter et bloquer tout type de menace provenant d'Internet, la suite fait un sans faute. Aucun faux positif n'est à signaler, et elle n'a pas d'impact significatif sur les performances de Windows. Le logiciel protège votre ordinateur sans faille, donc. La suite de Bitdefender est aussi disponible sur macOS, IOS et Android.
