Infos

Attaque multi-plateforme contre des banques

Selon les experts, le nouveau cheval de Troie propagé par messages non sollicités en plusieurs langues modifie les paramètres DNS de l’ordinateur infecté et envoie la victime vers une fausse page du site de la banque. Une fois sur la page, l’utilisateur est invité à télécharger un prétendu générateur de mots de passe à usage unique qui est en réalité un programme malveillant pour Android dont la fonction consiste à intercepter les SMS contenant les codes mTAN et à les transmettre aux auteurs de l’attaque.

Il faut noter que Retefe, nom attribué à ce programme malveillant par le CERT suisse, ne se contente pas de modifier le DNS de l’ordinateur de la victime. Il y installe également un certificat SSL racine afin de permettre l’accès direct des victimes aux sites de phishing, puis il se supprime de l’ordinateur. Daniel Stirnimann, du groupe suisse d’intervention rapide faces aux incidents informatiques (CERT), a déclaré : "Le programme malveillant n’est pas particulièrement élégant. – Il se passe de modules logiciel [téléchargé], ce qui réduit la complexité au minimum. Les escrocs ont également économisé sur les modes de diffusion et ont privilégié la propagation par messages non sollicités."

Selon Trend Micro, qui a désigné cette campagne sous le nom d’Opération Emmental, les messages multilingues diffusés dans le cadre de cette attaque imitent les notifications de magasins locaux connus et contiennent un lien malveillant ou une pièce jointe qui serait une prétendue facture. Si l’utilisateur télécharge et exécute le fichier malveillant, puis qu’il autorise l’installation du "programme de mise à jour Windows", il installe le cheval de Troie et lance l’attaque.

En raison de la substitution des paramètres DNS, la victime de l’attaque se retrouvera à chaque visite sur le site de la banque sur une fausse page. Toutes les données saisies sur cette dernière sont envoyées directement aux individus malintentionnés. De plus, comme le visiteur de la page piégée ne reçoit pas les mots de passe à usage unique de la banque, il est invité à télécharger une application Android qui permet de créer ces codes de protection. Il va sans dire que le faux site accepte tous les codes "TAN" créés par le faux générateur. De leur côté, les individus malintentionnés utilisent les identifiants volés pour réaliser des transactions frauduleuses au nom de la victime grâce à l’interception des mots de passe envoyés à la banque à l’aide du programme malveillant sous Android. Afin de déjouer les systèmes de lutte contre les fraudes mis en place par les banques, les voleurs accèdent aux services de transactions bancaires par Internet depuis des ordinateurs compromis doté d’une adresse locale.

Trend Micro en conclut que les composants de l’Opération Emmental sont des diffusions de messages non sollicités en plusieurs langues, des programmes malveillants difficiles à détecter (les logiciels antivirus sont encore rarement utilisés sur les appareils nomades) et des serveurs Web aux mains des individus malintentionnés : résolveurs DNS, hôtes avec des pages de phishing et centre de commande. A l’heure actuelle, les attaques observées visaient les clients de banques suisses, autrichiennes, suédoises et japonaises.

Trend Micro a également émis quelques hypothèses sur les auteurs de l’Opération Emmental. Certains éléments permettent d’affirmer qu’il s’agirait de ressortissants russes et/ou roumains ; les exploitants des programmes malveillants seraient FreeMan et Northwinds. D’après les données de Trend Micro, ces deux pseudonymes avaient été utilisés en 2011 par les diffuseurs de SpyEye et Hermes. Afin de protéger leur outil, FreeMan et Northwinds, s’il s’agit bien d’eux, se sont abonnés aux services d’au moins deux services de chiffrement. L’un d’entre eux compte la présence d’un ressortissant d’Ouzbékistan.

The Register

Attaque multi-plateforme contre des banques

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception