Nouvelle symbiose entre Andromeda et les malwares de terminaux de point de vente

Les experts de Trend Micro mettent le public en garde contre une campagne sur Internet qui vise à propager un nouveau malware pour terminal de point de vente à l’aide des bots Andromeda. Pour diffuser ceux-ci, les instigateurs de la campagne utilisent le spam. Une fois installé, le bot télécharge des outils supplémentaires après avoir reçu les instructions de l’opérateur. Ces outils simplifient le contrôle à distance et l’installation de GamaPoS sur d’autres ordinateurs Windows au sein du réseau attaqué.

Connue depuis 2011, la backdoor Andromeda (Backdoor.Win32.Androm dans la classification de Kaspersky Lab) intervient souvent dans le téléchargement d’autres malwares, principalement ZeuS et Rovnix. Dans ce cas-ci, elle est diffusée via des messages non sollicités contenant des liens vers des sites d’hébergement de codes d’exploitation ou un document en pièce jointe avec une macro malveillante. D’après les informations de Trend Micro, ces pièces jointes sont généralement présentées comme des recommandations sur la nouvelle norme PCI DSS (norme de sécurité des cartes de paiement) ou comme une mise à jour de la plateforme de vente au détail MICROS proposée par Oracle.

Une fois installé sur l’ordinateur infecté, Andromeda reçoit les instructions de téléchargement d’une copie de Mimikatz et PsExec. Ce dernier est un outil légitime utilisé normalement pour la commande et le diagnostic à distance et pour cette raison, il figure souvent dans les listes blanches. Les individus malintentionnés ont reconnu l’aspect pratique de ses fonctions, ainsi que sa réputation « sans taches » : ainsi, les chercheurs ont déclaré que PsExec avait été utilisé par les auteurs de l’attaque contre Target afin d’interrompre certains processus et de déplacer des fichiers. Mimikatz est également très connu et une de ses versions est utilisée dans des cyberattaques en vue de voler les données d’identification sur les ordinateurs Windows. L’utilisation conjointe de PsExec et de Mimikatz dans la livraison de GamaPoS permet aux individus malintentionnés de consolider leur position à l’intérieur du réseau attaqué.

En fait, Andromeda ne télécharge pas le nouveau malware pour terminal de point de vente sur tous les ordinateurs au sein du nouveau réseau de zombies. Selon les données de Trend Micro, seuls 3,8 % des ordinateurs infectés l’ont reçu ; GamaPoS est remarquable en lui-même parce qu’il a été créé à l’aide de .NET Framework, ce qui est insolite dans le monde des malwares pour terminal point de vente. Les chercheurs pensent que les auteurs du malware ont été séduits non seulement par la simplicité de ces applications, mais également par la décision de Microsoft de divulguer le code source .NET Core.

Quand GamaPoS est lancé, il recherche un centre de commande actif sur la base d’une liste d’URL et établit une connexion HTTPS. Il utilise ensuite cette même adresse pour envoyer les données volées « Track 2 » des cartes Visa, Discover et Maestro et de certaines autres qui sont filtrés sur la base de la première séquence de chiffres.

L’analyse de l’attaque montre que 85 % des organisations attaquées par GamaPoS ont des profils uniques et sont réparties entre 13 états des Etats-Unis. La campagne actuelle utilise 9 domaines, associés à la même adresse IP. Les chercheurs ont également remarqué certains points communs avec NitlovePOS: tous deux se propagent via une campagne de spam qui utilisent des macros malveillantes, alors que les malwares pour terminal point de vente traditionnel s’implantent dans un réseau après avoir obtenu l’accès grâce au vol ou à l’identification des comptes utilisateur correspondant. De plus, dans le cadre des deux campagnes malveillantes, le même bloc d’adresses IP est utilisé à l’étape initiale.

Source: Help Net Security

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *