Cutwail diffuse Tinba dans des messages non sollicités en allemand

Les activistes du projet suisse pour la sécurité des informations Abuse.ch mettent les utilisateurs en garde contre trois campagnes malveillantes parallèles détectées sur le territoire suisse à la fin du mois de janvier. Ces diffusions de messages non sollicités se caractérisent par un volume important. Les messages proviennent d’adresses d’un service de messagerie en ligne suisse (il s’agirait de fausses adresses), ils sont rédigés en allemand et possèdent une pièce jointe au format .zip qui abrite le malware bancaire Tinba.

Dans le premier cas, les individus malintentionnés proposent au destinataire de regarder une photo en pièce jointe prise par un iPhone. L’adresse du destinataire contient des noms aléatoires et appartient au domaine @bluewin.ch, un des principaux services de messagerie en ligne en suisse. L’analyse des en-têtes de service de ces messages montrent qu’ils sont en fait envoyés depuis différents pays, probablement via un réseau de zombies.

Dans le deuxième cas, les adresses des expéditeurs sont des numéros dans le domaine @orange.ch qui appartient au grand opérateur de téléphonie mobile Orange, présent également en Suisse. Ces messages non sollicités imitent une notification de réception d’un MMS, les adresses des expéditeurs sont ici aussi de fausses adresses.

Dans la troisième campagne, les messages proviennent du domaine @gmx.ch, un autre grand service de messagerie en ligne gratuit disponible en Suisse et en Allemagne. Le message se présente comme une candidature pour un emploi vacant et contient un CV qui est en réalité une pièce jointe malveillante au format .docx.zip Les chercheurs signalent que les auteurs de ce message ont visiblement eu des difficultés à utiliser le caractère umlaut (³), très fréquent en allemand, ce qui était également étrange. L’analyse des adresses IP d’expédition à l’aide de la liste noire de Spamhaus a établi que toutes ces campagnes sont associées à l’important réseau de zombies de spam Cutwail.

L’objectif unique de cette nouvelle campagne organisée à l’aide de ce réseau de zombies est la diffusion du malware bancaire Tinba, connu également sous le nom Tinybanker, Illi et Zusy. Ce malware est connu déjà depuis 2,5 ans. Après la divulgation des codes source, il a appris à utiliser DGA pour masquer les centres de commande et il s’est doté que quelques autres mécanismes de défense. Ceci étant dit, d’après les chercheurs, la version de Tinba diffusée actuellement en Suisse contacte le centre de commande en utilisant uniquement les domaines repris dans le code. Deux d’entre eux ont déjà été substitués via la technique du "sinkhole". S’agissant des autres, Abuse.ch conseille de les bloquer, à l’instar du bloc d’adresses correspondants 91.220.131.0/24 (AS44050, Saint-Pétersbourg).

abuse.ch

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *