Infos

Cheval de Troie nommé en pièce jointe

Dans le cadre d’une étude de messages malveillants envoyés à des détenteurs de comptes en banque, les experts de Websense ont découvert une nouvelle particularité : les individus malintentionnés ont commencé à diffuser des pièces jointes personnalisées. Le nom qui figure dans le nom de la pièce jointe correspond à celui qui figure dans le champ A : le nom du destinataire, ce qui, d’après les experts, indique l’utilisation d’un générateur automatique.

Une de ces diffusions de messages prétendait provenir de la grande banque Wells Fargo. Les messages malveillants étaient très laconiques et invitaient simplement le destinataire à ouvrir la pièce jointe zip nommée afin de prendre connaissance de « documents importants ». Au cours de cette campagne, les solutions de protection de Websense ont bloqué plus de 80 000 messages de ce genre.

La charge utile archivée se trouvait dans un fichier avec deux extensions, une pratique répandue chez les diffuseurs de programmes malveillants. Si l’option "Masquer les extensions des fichiers dont le type est connu" était activée, ce fichier exécutable ressemblait à un document PDF traditionnel et il affichait même l’icône de ce type de fichier. Le contenu du fichier malveillant a été identifié en tant que downloader Pony, un programme spécialisé qui intervient généralement dans le téléchargement du célèbre programme malveillant ZeuS. Dans le cas qui nous occupe, il téléchargeait, d’après Websense, une modification P2P de ce cheval de Troie sur l’ordinateur infecté. Afin de dissimuler le trafic qu’il générait, Pony envoyait également des requêtes à des sites Web légitimes. Les enquêteurs signalent que bon nombre des ressources inactives qui étaient sollicitées ont déjà été désactivées.

La deuxième vague de diffusions dangereuses enregistrée au milieu du mois de juin visaient les utilisateurs de canaux chiffrés. Des messages malveillants envoyés au nom d’un service baptisé Secure E-mail Message Center, signalaient au destinataire qu’il avait reçu un message confidentiel. Pour le lire, il fallait ouvrir le fichier zip en pièce jointe (portant le nom du destinataire). Ce fichier, pour donner l’illusion d’authenticité, était protégé par un mot de passe. Le mot de passe d’accès à l’archive figurait dans le corps du message non sollicité. Les individus malintentionnés pensaient ainsi pouvoir déjouer les filtres antispam. Le cheval de Troie était ici aussi masqué par une icône Adobe Reader, pour semer la confusion, et il portait deux extensions.

Websense a détecté une troisième version de cette technique des pièces jointes personnalisées dans une diffusion de messages non sollicités citant Trusteer, un éditeur de solutions de protection pour services bancaires. Ces messages malveillants proposaient d’installer une nouvelle version de Rapport, un produit de Trusteer qui neutralise les programmes malveillants bancaires et qui intercepte les transactions non autorisées. Websense a bloqué plus de 36 000 dans le cadre de cette diffusion.

L’archivez zip jointe aux messages malveillantes était nommée elle aussi et contenait un cheval de Troie détecté par Kaspersky Lab sous le nom de Trojan-PSW.Win32.Tepfer.odtu.

Custom Attachment Names and Passwords for Trojans

http://community.websense.com/blogs/securitylabs/archive/2013/07/18/Custom-Attachment-Names-and-Passwords-for-Trojans.aspx

Cheval de Troie nommé en pièce jointe

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception