Une mise à jour de Dyre qui aura rapporté un million de dollars à ses opérateurs

Au cours du premier trimestre de cette année, le Trojan Dyre a fortement progressé dans la hiérarchie des malwares. Récemment, les individus malintentionnés d’Europe de l’Est derrière la propagation de Dyreza/Dyre ont introduit un nouvel élément d’ingénierie sociale : ils ont mis en place un centre d’appels afin d’obtenir les mots de passe et les codes de transaction à usage unique des victimes afin de déjouer les systèmes d’authentification à deux facteurs.

Cette nouvelle astuce a été détectée par des chercheurs de chez IBM qui ont déjà repéré plusieurs transactions frauduleuses réalisées à l’aide de cette nouvelle astuce. D’après leurs estimations, la mise en place de ce faux centre d’appels élargit les possibilités offertes aux opérateurs de Dyre et ils auraient déjà encaissé plus d’un million de dollars.š John Kuhn, analyste antivirus principal au sein du département chargé de gérer les services d’IBM en matière de sécurité informatique, a déclaré que la bande avait introduit au premier trimestre des modifications radicales dans ses opérations et les technologies utilisées.

Outre l’introduction du nouveau piège d’ingénierie sociale, les opérateurs de Dyre utilisent désormais des attaques DDoS en guise de rideau de fumée pendant lesquelles ils peuvent vider un compte en l’espace de quelques secondes. L’attaque DDoS contre le site d’une banque ou d’un de ses clients institutionnels est une diversion qui permet aux individus malintentionnés de commettre les vols sans être dérangés. Depuis la fin de l’année dernière, John Kuhn estime que la population de Dyre a augmenté et que le nombre de détection se compte déjà en milliers.

"L’obtention des mots de passe via un appel téléphonique, c’est une technique qu’il fallait oser mettre en œuvre" constate l’expert. D’après les clients américains d’IBM qui ont été victimes de cette escroquerie, les escrocs à l’autre bout du fil s’expriment dans un bon anglais et rien dans leur comportement ne laisse soupçonner le risque d’escroquerie.š

D’après John Kuhn, les attaques DDoS de diversion sont organisées au cas par cas, uniquement lorsque les escrocs s’apprêtent à retirer de grosses sommes d’argent. "Afin de gagner du temps lors du retrait de l’argent, les individus malintentionnés lancent une puissante attaque DDoS avec amplification contre l’organisation. L’objectif est de détourner des ressources [pendant l’exécution de la transaction frauduleuse] ou d’épuiser celles-ci afin que la victime ne puisse pas se connecter à nouveau à son compte" explique John Kuhn.

Le Trojan Dyre circule sur Internet depuis un an environ et il a déjà été à l’origine de nombreux désagréments, et pas seulement pour les institutions financières. Il a été impliqué dans le vol de données d’identification sur Salesforce.com ainsi que dans l’utilisation d’un code d’exploitation Windows contre la vulnérabilité exploitée par le groupe APT Sandworm.šš

Du point de vue du déroulement de l’infection, Dyre ressemble aux autres bankers comme ZeuS et ses nombreuses versions. Il se diffuse généralement via des liens ou des pièces jointes dans des messages de harponnage envoyés à un employé en particulier ou à un groupe d’employés au sein de l’organisation. En cas de réussite de l’infection, le downloader Upatre est installé sur la machine de la victime. Il ouvre une backdoor et télécharge Dyre. Ce Trojan, doté d’injections Web pour des centaines de banques, suit les mouvements des victimes dans le compte bancaire de l’entreprise et affiche un message relatif à un problème, assorti de la suggestion de contacter un numéro vert.

Les individus malintentionnés utilisent l’ingénierie sociale pour obtenir les informations qui permettront de déjouer les mesures de protection adoptées par la banque. Ils transfèrent ensuite l’argent vers des comptes tiers, parfois sous le couvert d’attaques DDoS lorsque les sommes en jeu sont importantes.

IBM a également remarqué que les opérateurs de Dyre mettent tout en œuvre pour maintenir en vie cette opération qui leur rapporte des millions. "Nous surveillons des échantillons de Upatre qui se multiplient 10 à 20 par jour, voire plus ; les individus malintentionnés les modifient en permanence afin de les protéger contre la détection" explique John Kuhn. "Visiblement, ils disposent d’un bon soutien technique capable de réaliser toutes ces modifications. Cette pratique se justifie car elle leur permet de franchir les périmètres de sécurité et d’implanter Upatre".

D’après les observations d’IBM, Upatre a déjà été modifié plusieurs fois depuis le début de l’année. John Kuhn écrit : "Dans certains cas, le code a été complètement réécrit. Nous pratiquons l’ingénierie inversée et parfois, nous obtenons un code totalement différent. Ils modifient en permanence les noms, les hachages, les modes de compression, même l’icône de la pièce jointe. La victime reçoit un fichier .scr, mais l’icône indique qu’il s’agit d’un fichier PDF"š

Les statistiques d’IBM montrent que Dyre est un des bankers les plus fertiles à l’heure actuel. Il dépasse Neverquest, Bugat, ZeuS et deux ou trois autres bankers brésiliens. Et le nombre d’infections continue d’augmenter, surtout en Amérique du Nord où le nombre de détections de Dyre atteint le double de celui enregistré en Europe.

"Le recours à des appels téléphoniques et les attaques DDoS constituent des changements d’envergure" conclut John Kuhn. Je n’ai aucune connaissance d’une autre campagne ou Trojan qui vise les entreprises et non les particuliers. Ces individus malintentionnés veulent gagner beaucoup d’argent et jusqu’à présent, cela marche".

https://threatpost.com/dyre-banking-malware-a-million-dollar-threat/112009

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *