Infos

Une mise à jour de Dyre qui aura rapporté un million de dollars à ses opérateurs

Au cours du premier trimestre de cette année, le Trojan Dyre a fortement progressé dans la hiérarchie des malwares. Récemment, les individus malintentionnés d’Europe de l’Est derrière la propagation de Dyreza/Dyre ont introduit un nouvel élément d’ingénierie sociale : ils ont mis en place un centre d’appels afin d’obtenir les mots de passe et les codes de transaction à usage unique des victimes afin de déjouer les systèmes d’authentification à deux facteurs.

Cette nouvelle astuce a été détectée par des chercheurs de chez IBM qui ont déjà repéré plusieurs transactions frauduleuses réalisées à l’aide de cette nouvelle astuce. D’après leurs estimations, la mise en place de ce faux centre d’appels élargit les possibilités offertes aux opérateurs de Dyre et ils auraient déjà encaissé plus d’un million de dollars.š John Kuhn, analyste antivirus principal au sein du département chargé de gérer les services d’IBM en matière de sécurité informatique, a déclaré que la bande avait introduit au premier trimestre des modifications radicales dans ses opérations et les technologies utilisées.

Outre l’introduction du nouveau piège d’ingénierie sociale, les opérateurs de Dyre utilisent désormais des attaques DDoS en guise de rideau de fumée pendant lesquelles ils peuvent vider un compte en l’espace de quelques secondes. L’attaque DDoS contre le site d’une banque ou d’un de ses clients institutionnels est une diversion qui permet aux individus malintentionnés de commettre les vols sans être dérangés. Depuis la fin de l’année dernière, John Kuhn estime que la population de Dyre a augmenté et que le nombre de détection se compte déjà en milliers.

"L’obtention des mots de passe via un appel téléphonique, c’est une technique qu’il fallait oser mettre en œuvre" constate l’expert. D’après les clients américains d’IBM qui ont été victimes de cette escroquerie, les escrocs à l’autre bout du fil s’expriment dans un bon anglais et rien dans leur comportement ne laisse soupçonner le risque d’escroquerie.š

D’après John Kuhn, les attaques DDoS de diversion sont organisées au cas par cas, uniquement lorsque les escrocs s’apprêtent à retirer de grosses sommes d’argent. "Afin de gagner du temps lors du retrait de l’argent, les individus malintentionnés lancent une puissante attaque DDoS avec amplification contre l’organisation. L’objectif est de détourner des ressources [pendant l’exécution de la transaction frauduleuse] ou d’épuiser celles-ci afin que la victime ne puisse pas se connecter à nouveau à son compte" explique John Kuhn.

Le Trojan Dyre circule sur Internet depuis un an environ et il a déjà été à l’origine de nombreux désagréments, et pas seulement pour les institutions financières. Il a été impliqué dans le vol de données d’identification sur Salesforce.com ainsi que dans l’utilisation d’un code d’exploitation Windows contre la vulnérabilité exploitée par le groupe APT Sandworm.šš

Du point de vue du déroulement de l’infection, Dyre ressemble aux autres bankers comme ZeuS et ses nombreuses versions. Il se diffuse généralement via des liens ou des pièces jointes dans des messages de harponnage envoyés à un employé en particulier ou à un groupe d’employés au sein de l’organisation. En cas de réussite de l’infection, le downloader Upatre est installé sur la machine de la victime. Il ouvre une backdoor et télécharge Dyre. Ce Trojan, doté d’injections Web pour des centaines de banques, suit les mouvements des victimes dans le compte bancaire de l’entreprise et affiche un message relatif à un problème, assorti de la suggestion de contacter un numéro vert.

Les individus malintentionnés utilisent l’ingénierie sociale pour obtenir les informations qui permettront de déjouer les mesures de protection adoptées par la banque. Ils transfèrent ensuite l’argent vers des comptes tiers, parfois sous le couvert d’attaques DDoS lorsque les sommes en jeu sont importantes.

IBM a également remarqué que les opérateurs de Dyre mettent tout en œuvre pour maintenir en vie cette opération qui leur rapporte des millions. "Nous surveillons des échantillons de Upatre qui se multiplient 10 à 20 par jour, voire plus ; les individus malintentionnés les modifient en permanence afin de les protéger contre la détection" explique John Kuhn. "Visiblement, ils disposent d’un bon soutien technique capable de réaliser toutes ces modifications. Cette pratique se justifie car elle leur permet de franchir les périmètres de sécurité et d’implanter Upatre".

D’après les observations d’IBM, Upatre a déjà été modifié plusieurs fois depuis le début de l’année. John Kuhn écrit : "Dans certains cas, le code a été complètement réécrit. Nous pratiquons l’ingénierie inversée et parfois, nous obtenons un code totalement différent. Ils modifient en permanence les noms, les hachages, les modes de compression, même l’icône de la pièce jointe. La victime reçoit un fichier .scr, mais l’icône indique qu’il s’agit d’un fichier PDF"š

Les statistiques d’IBM montrent que Dyre est un des bankers les plus fertiles à l’heure actuel. Il dépasse Neverquest, Bugat, ZeuS et deux ou trois autres bankers brésiliens. Et le nombre d’infections continue d’augmenter, surtout en Amérique du Nord où le nombre de détections de Dyre atteint le double de celui enregistré en Europe.

"Le recours à des appels téléphoniques et les attaques DDoS constituent des changements d’envergure" conclut John Kuhn. Je n’ai aucune connaissance d’une autre campagne ou Trojan qui vise les entreprises et non les particuliers. Ces individus malintentionnés veulent gagner beaucoup d’argent et jusqu’à présent, cela marche".

https://threatpost.com/dyre-banking-malware-a-million-dollar-threat/112009

Une mise à jour de Dyre qui aura rapporté un million de dollars à ses opérateurs

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception