Le Trojan Dyre mord à l’hameçon

Les criminels qui ont lancé le Trojan bancaire Dyre pourraient avoir d’autres objectifs que la collecte des comptes utilisateur de Salesforce.com.

L’analyse d’un échantillon réalisée par la société Adallom, spécialisée dans les solutions de sécurité informatiques SaaS, a permis de voir que la nouvelle souche de Dyre attaque de grandes entreprises en plus des institutions financières et contient une fonction qui permet de voler les certificats clients et les cookies du navigateur. Une fois en possession de ces éléments d’authentification, les individus malintentionnés peuvent gérer les comptes comme les propriétaires légitimes de ceux-ci et accéder aux services internes et Internet.

Ceci étant dit, Dyre est toujours intéressé par les banques. Toutefois, les enquêteurs d’Adallom ont trouvé que le programme malveillant n’attaque pas les comptes des particuliers ou des petites entreprises. Il est configuré pour fonctionner avec les pages d’ouverture de session de grandes banques et de grandes entreprises.

Tomer Schwartz, directeur du service d’enquête, a indiqué que "l’ensemble de l’opération est à peine plus grand que l’attaque contre Salesforce". Le 8 septembre, Salesforce avait annoncé à ses clients que les comptes utilisateur avaient été victimes d’une attaque menée par Dyre (connu également sous le nom Dyreza).

Dyre se propage via des messages non sollicités ou des messages de phishing. Dès qu’il a infecté un ordinateur, il charge un de deux modules disponibles, en fonction de la présence ou non de l’URL saisie dans la liste des cibles. Si l’URL ne figure pas dans la liste, c’est le module normal qui est chargé. Il copie les données de la requête POST du navigateur et les envoie au serveur de commande. D’après Schwartz, ce module n’est pas capable d’insérer du code, mais il envoie aux individus malintentionnés un volume important d’informations en clair, dont les informations d’identification.

Si l’URL figure dans la liste des cibles, c’est une autre configuration qui est envoyée. Celle-ci organise une attaque de type "homme au milieu" et redirige le trafic vers le serveur de l’individu malintentionné. La fonction baptisée browsersnapshot permet à Dyre de voler les cookies de session et les certificats du client ainsi que les clés du magasin de certificats Windows pour Internet Explorer et de la base de certificats de Firefox. Le navigateur est trompé grâce à l’utilisation d’un certificat légitime qui, entre les mains des individus malintentionnés, permet l’insertion de code dans la session et la création d’une fausse page d’ouverture de session. L’attaque évite également SSL.

"Si je parvenais à voler les cookies de session et les certificats de client pour toutes vos applications, je serais votre égal pour ces applications, même si je n’intercepte pas la session que vous utilisez. C’est quelque chose que ZeuS ne fait pas" explique Tal Klein, vice-président chargé de la stratégie chez Adallom.

Comme l’a dit Schwartz, les campagnes des programmes malveillants bancaires ne visent normalement pas à voler les certificats client car ils sont rarement utilisés dans les connexions quotidiennes des particuliers.

"Le fait que les individus malintentionnés aient introduit cette fonction dans le programme malveillant , installé sur l’ordinateur de chaque victime, est très intéressant car l’utilisation des certificats client est inhabituelle et n’est pas particulièrement utile pour la majorité des campagnes (bancaires). Ils savent exactement à qui ils veulent s’attaquer" poursuit-il.

D’après Klein, il faut maintenant définir l’utilité que représentent les données des comptes utilisateur de Salesforce pour les individus malintentionnés. Il a ajouté qu’ils étudiaient les mécanismes de Salesforce qui pourraient être intéressants en tant que vecteur d’attaque.

"Ces individus ne sont pas intéressés par des éléments tels que le courrier électronique ; la liste des cibles du programme malveillant ne contient aucun service tel que Office 365 ou Google Apps. La partie intéressante est que nous formulons des hypothèses sur ce que leur apportent les données de Salesforce. Ils ne cherchent pas à vendre Salesforce sur le marché. Il doit exister un lien entre Salesforce et ces sites de banque repris dans la liste. C’est ce que nous essayons de comprendre".

Adallom a publié la liste complète des cibles sur son site. Les informations d’identification de Salesforce ne figuraient pas dans la liste des victimes pour lesquelles des configurations déterminées avaient été téléchargées ; cette liste est composée en grande partie de grandes banques anglaises. Le code qui visait les données d’identification de Salesforce a été repéré sur un serveur proxy utilisé dans le cadre d’une attaque contre des sites choisis selon des critères inconnus jusqu’à présent, d’après les explications de Schwartz.

Les individus malintentionnés ont laissé par accident des tokens uniques dans certaines URL de redirection, ce qui pourrait nous être utile ; Klein explique que sa société espère coopérer avec certaines banques dans le but d’identifier les individus malintentionnés.

"Grâce à la négligence de ces individus, nous avons découvert qu’ils avaient laissé un volume significatif d’informations dans les URL des banques de la liste" a expliqué Klein. La prochaine étape va consister à travailler avec certaines de ces banques et voir combien de fois elles ont identifié les identificateurs de session ou les tokens utilisés pour établir de nouvelles sessions. Cela nous permettra de progresser dans l’enquête."

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *