Américains et Européens victimes d’attaques d’une nouvelle version de Carbanak

De nouvelles versions du malware utilisé par le groupe Carbanak dans le cadre de campagnes contre des institutions financières ont été observées aux Etats-Unis et en Europe de l’Ouest. D’après des informations obtenues par des chercheurs danois, ce malware exploité dans des attaques ciblées est doté désormais d’un protocole de communication exclusif et il a commencé à utiliser les signatures numériques.

La backdoor ciblée, baptisée Carbanak par Kaspersky Lab, est utilisée depuis plusieurs années maintenant par le groupe du même nom. Au début de cette année, les chercheurs ont mis à jour les détails d’une campagne malveillante d’envergure qui avait coûté près d’un milliard de dollars aux banques. L’élément surprenant de cette campagne était que les auteurs avaient visé directement les banques et non pas les clients de celles-ci. L’attaque démarrait par l’envoi d’un message de phishing ciblé qui contenait Carbanak en pièce jointe. Une fois installée sur l’ordinateur compromis, la backdoor permet aux attaquants de prendre les commandes à distance et ceux-ci profitent de cet accès pour s’enfoncer plus encore dans le réseau de la banque et voler l’argent.

« Ces hold-ups se distinguent des autres attaques par le fait que les cybercriminels ont adopté des méthodes qui ne dépendent pas du système d’exploitation utilisé dans le banque, même s’il s’agit d’un système exclusif. Les pirates n’ont même pas dû s’attaquer aux services bancaires. Ils se sont simplement introduits dans le réseau et ont appris à dissimuler les actions malveillantes sous le trait d’actions légitimes. Ce sont des professionnels » a déclaré Serge Golovanov, expert principal de la lutte contre les virus chez Kaspersky Lab, dans un rapport publié en février.

Des chercheurs de la société danoise CSIS spécialisée en sécurité de l’information ont découvert de nouvelles versions de Carbanak dotées de propriétés uniques. Selon ces chercheurs, le dossier dans lequel s’installe la backdoor et le nom du fichier sont statiques. Pour masquer sa présence, le malware actualisé s’introduit dans le processus svchost.exe.

« Récemment, CSIS a eu la possibilité d’analyser une tentative d’exécution de transactions bancaires frauduleuses en ligne suite à la compromission d’un client Microsoft Windows » écrit Peter Kruse dans le blog de la société. Il poursuit en déclarant que « l’analyse a permis d’isoler un fichier binaire signé qui a été identifié par la suite comme un nouvel échantillon de Carbanak. »

L’expert explique que « Carbanak, à l’instar de quelques autres voleurs de données avancés, utilise des plug-ins. Ceux-ci sont installés selon un protocole propre au malware et contactent, via le port TCP 143, une adresse IP reprise dans le code. Les plug-ins chargés dans le cadre de l’analyse s’appelaient wi.exe et klgconfig.plug ».

Les échantillons analysés par CSIS possédaient une signature numérique Comodo et le certificat avait été délivré par une société moscovite. D’après les informations de Peter Kruse, les nouvelles versions de Carbanak visent des cibles américaines et européennes.

Il précise que « Carbanak est classé dans la catégorie des malwares APT financiers. Sa fonction est ciblée et sa propagation est très limitée. Par conséquent, il est difficile à détecter. Nous avons identifié au moins quatre versions différentes de Carbanak qui visent les principaux membres des services financiers de grandes corporations internationales.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *