Attaque multi-plateforme contre des banques

Selon les experts, le nouveau cheval de Troie propagé par messages non sollicités en plusieurs langues modifie les paramètres DNS de l’ordinateur infecté et envoie la victime vers une fausse page du site de la banque. Une fois sur la page, l’utilisateur est invité à télécharger un prétendu générateur de mots de passe à usage unique qui est en réalité un programme malveillant pour Android dont la fonction consiste à intercepter les SMS contenant les codes mTAN et à les transmettre aux auteurs de l’attaque.

Il faut noter que Retefe, nom attribué à ce programme malveillant par le CERT suisse, ne se contente pas de modifier le DNS de l’ordinateur de la victime. Il y installe également un certificat SSL racine afin de permettre l’accès direct des victimes aux sites de phishing, puis il se supprime de l’ordinateur. Daniel Stirnimann, du groupe suisse d’intervention rapide faces aux incidents informatiques (CERT), a déclaré : "Le programme malveillant n’est pas particulièrement élégant. – Il se passe de modules logiciel [téléchargé], ce qui réduit la complexité au minimum. Les escrocs ont également économisé sur les modes de diffusion et ont privilégié la propagation par messages non sollicités."

Selon Trend Micro, qui a désigné cette campagne sous le nom d’Opération Emmental, les messages multilingues diffusés dans le cadre de cette attaque imitent les notifications de magasins locaux connus et contiennent un lien malveillant ou une pièce jointe qui serait une prétendue facture. Si l’utilisateur télécharge et exécute le fichier malveillant, puis qu’il autorise l’installation du "programme de mise à jour Windows", il installe le cheval de Troie et lance l’attaque.

En raison de la substitution des paramètres DNS, la victime de l’attaque se retrouvera à chaque visite sur le site de la banque sur une fausse page. Toutes les données saisies sur cette dernière sont envoyées directement aux individus malintentionnés. De plus, comme le visiteur de la page piégée ne reçoit pas les mots de passe à usage unique de la banque, il est invité à télécharger une application Android qui permet de créer ces codes de protection. Il va sans dire que le faux site accepte tous les codes "TAN" créés par le faux générateur. De leur côté, les individus malintentionnés utilisent les identifiants volés pour réaliser des transactions frauduleuses au nom de la victime grâce à l’interception des mots de passe envoyés à la banque à l’aide du programme malveillant sous Android. Afin de déjouer les systèmes de lutte contre les fraudes mis en place par les banques, les voleurs accèdent aux services de transactions bancaires par Internet depuis des ordinateurs compromis doté d’une adresse locale.

Trend Micro en conclut que les composants de l’Opération Emmental sont des diffusions de messages non sollicités en plusieurs langues, des programmes malveillants difficiles à détecter (les logiciels antivirus sont encore rarement utilisés sur les appareils nomades) et des serveurs Web aux mains des individus malintentionnés : résolveurs DNS, hôtes avec des pages de phishing et centre de commande. A l’heure actuelle, les attaques observées visaient les clients de banques suisses, autrichiennes, suédoises et japonaises.

Trend Micro a également émis quelques hypothèses sur les auteurs de l’Opération Emmental. Certains éléments permettent d’affirmer qu’il s’agirait de ressortissants russes et/ou roumains ; les exploitants des programmes malveillants seraient FreeMan et Northwinds. D’après les données de Trend Micro, ces deux pseudonymes avaient été utilisés en 2011 par les diffuseurs de SpyEye et Hermes. Afin de protéger leur outil, FreeMan et Northwinds, s’il s’agit bien d’eux, se sont abonnés aux services d’au moins deux services de chiffrement. L’un d’entre eux compte la présence d’un ressortissant d’Ouzbékistan.

The Register

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *