Il y a quelques mois, le cheval de Troie SpyEye a compromis quelques 25394 systèmes. Trend Micro, qui a analysé le fonctionnement de ce botnet dévastateur, et les IP de ses victimes, nous en dit plus sur son mode opératoire.

Nous vous parlions déjà de ce Trojan fin août, alors que les spécialistes remarquaient qu'il était de plus en plus utilisé, et de plus que son code était mélangé à celui de Zeus.

Une nouvelle attaque de SpyEye aux Etats-Unis provenant d’un cybercriminel qui s’autoproclame le « soldat »  a impacté d’importantes institutions et organisations américaines avec pour objet le vol de 3,2 millions de dollars (armée et gouvernement américains, banques, aéroports, groupes média font partie des victimes).

Le cheval de Troie a été en mesure de compromettre environ 25 394 systèmes entre le 19 avril et le 29 juin 2011, en utilisant notamment des techniques de référencement avancée Black Hat SEO. La majorité des victimes étaient situées aux Etats-Unis. Ce type d’attaque est susceptible d’arriver en Europe prochainement. 

Contacté par Mag-Securs, Luis Delabarre, CTO de Trend Micro France, s'est exprimé au sujet de cette menace inquiétante :

« Trend Micro a analysé le fonctionnement du cheval de Troie SpyEye et évalué les conséquences ou impacts de la compromission massive de systèmes Windows (majoritairement des postes en Windows XP, environ 57%).

D’une part, ce que nous pouvons qualifier de remarquable est l’ampleur des dégâts : 3,2 millions de dollars “récoltés” en 6 mois grâce à ce cheval de Troie que l’on pourrait presque qualifier de piège bancaire puisqu’il est destiné à capturer les informations liées aux comptes bancaires (sans oublier les réseaux sociaux et Paypal). Il semblerait que les vraies cibles soient les particuliers, et non les multinationales (même si un grand nombre d’entreprises ont été indirectement infectées).

D’autre part, le vecteur d’infection est extrêmement intéressant puisque ce jeune pirate (appelé “Soldier”) a employé une technique nommée SEO (pour Search Engine Optimization) qui consiste à faire apparaître une page malveillante très haut (dans la première page) dans l’affichage de résultats d’un moteur de recherche. L’idée sous-jacente est que, si un célèbre moteur de recherches affiche une page (ou lien) dans les premiers résultats, les utilisateurs feront confiance aux résultats et cliqueront sur le lien. Il s’agit d’une technique récente démontrée dernièrement lors d’une Black Hat, et qui semble particulièrement bien adaptée à une attaque massive visant les internautes, ce qui est le cas de SpyEye.

Par ailleurs, cet exemple d’attaque massive confirme la “professionnalisation” des pirates, car ce jeune hacker travaillerait pour un gang ou groupe mafieux utilisant des moyens et des méthodes déjà utilisés dans d’autres types d’enrichissement illégal. La motivation dans ces attaques est et deviendra de plus en plus financière.

En termes de parade, ou de riposte, ces attaques démontrent l’efficacité de l’approche basée sur des mécanismes de réputation. Trend Micro défend cette approche, qui se traduit depuis des années par une protection dans le Cloud (appelée Smart Protection Network ou SPN) qui, au-delà de la détection de l’infection du poste, permet également de bloquer toutes les tentatives de connexion entre les postes infectés et les serveurs appartenant aux pirates (appelés Command & Control, ou C&C); et rend par conséquent l’attaque inefficace.

En conclusion, ce cheval de Troie (digne descendant de Zeus) illustre parfaitement les motivations, impacts et techniques caractérisant les menaces actuelles. Et une sécurité en profondeur bénéficiant d’une approche innovante basée sur notre SPN, représente aujourd’hui la meilleure parade à ces attaques ».




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143292
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI