Un groupe de hackers russes connu sous plusieurs noms, comme Gamaredon ou Shuckworm, sévit depuis 2014 et serait directement soutenu par le gouvernement du pays. Ciblant ces derniers temps principalement l’Ukraine, le groupe a cependant étendu ses activités au monde entier, volontairement ou non. Un de leurs malwares, principal responsable, pénètre et se propage d’un système à l’autre via l’USB. Écrit en VBS, une fois qu’il a infecté un système, il communique en permanence avec les serveurs « command-and-control » des pirates.
On appelle ce type de malware un « ver ». Les vers sont particulièrement efficaces pour se propager, étant donné qu’aucune action des utilisateurs n’est nécessaire. Les chercheurs de Check Point, firme de sécurité, ont détaillé son fonctionnement. Lors de l’exécution du programme, il passe par le WMI (Windows Management Instrumentation) pour chercher les disques logiques ayant une valeur MediaType de null. Cette technique permet notamment d’identifier les lecteurs USB que l’on peut retirer. Pour chaque lecteur ainsi détecté, il crée des sous-dossiers. Pour chacun de ces sous dossiers, il crée des raccourcis spéciaux, ainsi qu’une copie cachée de « trash.dll ». Ces raccourcis et cette copie permettent au serveur de faire ses requêtes, et de récupérer des informations discrètement.
