Infos

Américains et Européens victimes d’attaques d’une nouvelle version de Carbanak

De nouvelles versions du malware utilisé par le groupe Carbanak dans le cadre de campagnes contre des institutions financières ont été observées aux Etats-Unis et en Europe de l’Ouest. D’après des informations obtenues par des chercheurs danois, ce malware exploité dans des attaques ciblées est doté désormais d’un protocole de communication exclusif et il a commencé à utiliser les signatures numériques.

La backdoor ciblée, baptisée Carbanak par Kaspersky Lab, est utilisée depuis plusieurs années maintenant par le groupe du même nom. Au début de cette année, les chercheurs ont mis à jour les détails d’une campagne malveillante d’envergure qui avait coûté près d’un milliard de dollars aux banques. L’élément surprenant de cette campagne était que les auteurs avaient visé directement les banques et non pas les clients de celles-ci. L’attaque démarrait par l’envoi d’un message de phishing ciblé qui contenait Carbanak en pièce jointe. Une fois installée sur l’ordinateur compromis, la backdoor permet aux attaquants de prendre les commandes à distance et ceux-ci profitent de cet accès pour s’enfoncer plus encore dans le réseau de la banque et voler l’argent.

« Ces hold-ups se distinguent des autres attaques par le fait que les cybercriminels ont adopté des méthodes qui ne dépendent pas du système d’exploitation utilisé dans le banque, même s’il s’agit d’un système exclusif. Les pirates n’ont même pas dû s’attaquer aux services bancaires. Ils se sont simplement introduits dans le réseau et ont appris à dissimuler les actions malveillantes sous le trait d’actions légitimes. Ce sont des professionnels » a déclaré Serge Golovanov, expert principal de la lutte contre les virus chez Kaspersky Lab, dans un rapport publié en février.

Des chercheurs de la société danoise CSIS spécialisée en sécurité de l’information ont découvert de nouvelles versions de Carbanak dotées de propriétés uniques. Selon ces chercheurs, le dossier dans lequel s’installe la backdoor et le nom du fichier sont statiques. Pour masquer sa présence, le malware actualisé s’introduit dans le processus svchost.exe.

« Récemment, CSIS a eu la possibilité d’analyser une tentative d’exécution de transactions bancaires frauduleuses en ligne suite à la compromission d’un client Microsoft Windows » écrit Peter Kruse dans le blog de la société. Il poursuit en déclarant que « l’analyse a permis d’isoler un fichier binaire signé qui a été identifié par la suite comme un nouvel échantillon de Carbanak. »

L’expert explique que « Carbanak, à l’instar de quelques autres voleurs de données avancés, utilise des plug-ins. Ceux-ci sont installés selon un protocole propre au malware et contactent, via le port TCP 143, une adresse IP reprise dans le code. Les plug-ins chargés dans le cadre de l’analyse s’appelaient wi.exe et klgconfig.plug ».

Les échantillons analysés par CSIS possédaient une signature numérique Comodo et le certificat avait été délivré par une société moscovite. D’après les informations de Peter Kruse, les nouvelles versions de Carbanak visent des cibles américaines et européennes.

Il précise que « Carbanak est classé dans la catégorie des malwares APT financiers. Sa fonction est ciblée et sa propagation est très limitée. Par conséquent, il est difficile à détecter. Nous avons identifié au moins quatre versions différentes de Carbanak qui visent les principaux membres des services financiers de grandes corporations internationales.

Source: Threatpost

Américains et Européens victimes d’attaques d’une nouvelle version de Carbanak

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception