Infos

Nouvelle symbiose entre Andromeda et les malwares de terminaux de point de vente

Les experts de Trend Micro mettent le public en garde contre une campagne sur Internet qui vise à propager un nouveau malware pour terminal de point de vente à l’aide des bots Andromeda. Pour diffuser ceux-ci, les instigateurs de la campagne utilisent le spam. Une fois installé, le bot télécharge des outils supplémentaires après avoir reçu les instructions de l’opérateur. Ces outils simplifient le contrôle à distance et l’installation de GamaPoS sur d’autres ordinateurs Windows au sein du réseau attaqué.

Connue depuis 2011, la backdoor Andromeda (Backdoor.Win32.Androm dans la classification de Kaspersky Lab) intervient souvent dans le téléchargement d’autres malwares, principalement ZeuS et Rovnix. Dans ce cas-ci, elle est diffusée via des messages non sollicités contenant des liens vers des sites d’hébergement de codes d’exploitation ou un document en pièce jointe avec une macro malveillante. D’après les informations de Trend Micro, ces pièces jointes sont généralement présentées comme des recommandations sur la nouvelle norme PCI DSS (norme de sécurité des cartes de paiement) ou comme une mise à jour de la plateforme de vente au détail MICROS proposée par Oracle.

Une fois installé sur l’ordinateur infecté, Andromeda reçoit les instructions de téléchargement d’une copie de Mimikatz et PsExec. Ce dernier est un outil légitime utilisé normalement pour la commande et le diagnostic à distance et pour cette raison, il figure souvent dans les listes blanches. Les individus malintentionnés ont reconnu l’aspect pratique de ses fonctions, ainsi que sa réputation « sans taches » : ainsi, les chercheurs ont déclaré que PsExec avait été utilisé par les auteurs de l’attaque contre Target afin d’interrompre certains processus et de déplacer des fichiers. Mimikatz est également très connu et une de ses versions est utilisée dans des cyberattaques en vue de voler les données d’identification sur les ordinateurs Windows. L’utilisation conjointe de PsExec et de Mimikatz dans la livraison de GamaPoS permet aux individus malintentionnés de consolider leur position à l’intérieur du réseau attaqué.

En fait, Andromeda ne télécharge pas le nouveau malware pour terminal de point de vente sur tous les ordinateurs au sein du nouveau réseau de zombies. Selon les données de Trend Micro, seuls 3,8 % des ordinateurs infectés l’ont reçu ; GamaPoS est remarquable en lui-même parce qu’il a été créé à l’aide de .NET Framework, ce qui est insolite dans le monde des malwares pour terminal point de vente. Les chercheurs pensent que les auteurs du malware ont été séduits non seulement par la simplicité de ces applications, mais également par la décision de Microsoft de divulguer le code source .NET Core.

Quand GamaPoS est lancé, il recherche un centre de commande actif sur la base d’une liste d’URL et établit une connexion HTTPS. Il utilise ensuite cette même adresse pour envoyer les données volées « Track 2 » des cartes Visa, Discover et Maestro et de certaines autres qui sont filtrés sur la base de la première séquence de chiffres.

L’analyse de l’attaque montre que 85 % des organisations attaquées par GamaPoS ont des profils uniques et sont réparties entre 13 états des Etats-Unis. La campagne actuelle utilise 9 domaines, associés à la même adresse IP. Les chercheurs ont également remarqué certains points communs avec NitlovePOS: tous deux se propagent via une campagne de spam qui utilisent des macros malveillantes, alors que les malwares pour terminal point de vente traditionnel s’implantent dans un réseau après avoir obtenu l’accès grâce au vol ou à l’identification des comptes utilisateur correspondant. De plus, dans le cadre des deux campagnes malveillantes, le même bloc d’adresses IP est utilisé à l’étape initiale.

Source: Help Net Security

Nouvelle symbiose entre Andromeda et les malwares de terminaux de point de vente

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception