Infos

Cutwail diffuse Tinba dans des messages non sollicités en allemand

Les activistes du projet suisse pour la sécurité des informations Abuse.ch mettent les utilisateurs en garde contre trois campagnes malveillantes parallèles détectées sur le territoire suisse à la fin du mois de janvier. Ces diffusions de messages non sollicités se caractérisent par un volume important. Les messages proviennent d’adresses d’un service de messagerie en ligne suisse (il s’agirait de fausses adresses), ils sont rédigés en allemand et possèdent une pièce jointe au format .zip qui abrite le malware bancaire Tinba.

Dans le premier cas, les individus malintentionnés proposent au destinataire de regarder une photo en pièce jointe prise par un iPhone. L’adresse du destinataire contient des noms aléatoires et appartient au domaine @bluewin.ch, un des principaux services de messagerie en ligne en suisse. L’analyse des en-têtes de service de ces messages montrent qu’ils sont en fait envoyés depuis différents pays, probablement via un réseau de zombies.

Dans le deuxième cas, les adresses des expéditeurs sont des numéros dans le domaine @orange.ch qui appartient au grand opérateur de téléphonie mobile Orange, présent également en Suisse. Ces messages non sollicités imitent une notification de réception d’un MMS, les adresses des expéditeurs sont ici aussi de fausses adresses.

Dans la troisième campagne, les messages proviennent du domaine @gmx.ch, un autre grand service de messagerie en ligne gratuit disponible en Suisse et en Allemagne. Le message se présente comme une candidature pour un emploi vacant et contient un CV qui est en réalité une pièce jointe malveillante au format .docx.zip Les chercheurs signalent que les auteurs de ce message ont visiblement eu des difficultés à utiliser le caractère umlaut (³), très fréquent en allemand, ce qui était également étrange. L’analyse des adresses IP d’expédition à l’aide de la liste noire de Spamhaus a établi que toutes ces campagnes sont associées à l’important réseau de zombies de spam Cutwail.

L’objectif unique de cette nouvelle campagne organisée à l’aide de ce réseau de zombies est la diffusion du malware bancaire Tinba, connu également sous le nom Tinybanker, Illi et Zusy. Ce malware est connu déjà depuis 2,5 ans. Après la divulgation des codes source, il a appris à utiliser DGA pour masquer les centres de commande et il s’est doté que quelques autres mécanismes de défense. Ceci étant dit, d’après les chercheurs, la version de Tinba diffusée actuellement en Suisse contacte le centre de commande en utilisant uniquement les domaines repris dans le code. Deux d’entre eux ont déjà été substitués via la technique du "sinkhole". S’agissant des autres, Abuse.ch conseille de les bloquer, à l’instar du bloc d’adresses correspondants 91.220.131.0/24 (AS44050, Saint-Pétersbourg).

abuse.ch

Cutwail diffuse Tinba dans des messages non sollicités en allemand

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception