L’éditeur Proofpoint vient de publier une analyse très détaillée sur une infrastructure cybercriminelle d’origine russe qui a réussi à infecter plus de 500 000 PCs dans le monde, dans le but premier de se procurer des informations bancaires. L’attaque est très sophistiquée et utilise de nombreux mécanismes différents.

Les chercheurs en sécurité de Proofpoint viennent de publier une étude sur une cyberattaque massive qui a été menée durant les derniers mois. Au total, le groupe de cybercriminels a réussi à infecter 500 000 PCs. Ce gigantesque botnet a permis de se procurer des informations à propos de 800 000 transactions bancaires en ligne avec 59% de ces sessions écoutées concernant les cinq plus grandes banques américaines.

Des mécanismes nouveaux comme le TDS

L’attaque s’est déroulée en plusieurs phases. 

La première d’entre elles consistait à acheter des identifiants (login/mot de passe) pour accéder aux sites sous WordPress en mode administrateur puis à infiltrer ces sites légitimes et y introduire des malwares. 52% des sites infectés fonctionnaient sous Windows XP alors que la base installée sous Windows XP représente 20 à 30% de la base installée. L’étude rappelle également que Microsoft a arrêté les mises à jour de ce système à la fin du mois d’avril 2014. 

La 2ème phase de l’attaque est la plus originale et se nomme Trafic Distribution System (TDS). Selon Ismet Geri, directeur de Proofpoint Europe du Sud, « il s’agit de générer des attaques avec des outils polymorphiques pour toucher le plus grand nombre de systèmes. Le TDS permet de filtrer dynamiquement les systèmes d’exploitation ou les navigateurs sur lesquels les malwares peuvent s’installer ». Ainsi, un malware dédié à Windows XP viendra s’y loger sans affecter les autres systèmes pour lesquels une nouvelle attaque sera menée. « Ceci permet d’éviter l’attaque de masse, d’être percutant et cela réduit les risques de détection », poursuit M. Geri. 

La 3ème phase a consisté à installer les « exploits » sur les machines des utilisateurs et à partir de là il devient possible de prendre le contrôle à distance des machines infectées et notamment avoir la capacité de renifler les informations bancaires pourtant sous protocole https. 

Enfin la 4ème phase est le vol des informations et l’accès aux comptes bancaires des victimes.

Un montant non dévoilé

Selon Proofpoint, les attaquants sont un groupe de cybercriminels russes dont la motivation première est financière. Toutefois, le groupe a utilisé d’autres techniques de monétisation. Sur la base d’attaques antérieures, l’éditeur considère que 25 000 dollars dérobés par personne est un chiffre réaliste. Bien évidemment, les 800 000 comptes n’ont pas tous été compromis mais Proofpoint pense que la fraude a pu atteindre plusieurs millions, voire dizaines de millions de dollars. En effet si l’on multiplie 800 000 x 25 000, on arrive au chiffre ahurissant de 20 milliards de dollars. Il n’est sans doute pas vraisemblable que ce montant ait été atteint mais les banques se montrent évidemment très discrètes sur les sommes effectivement dérobées.

Patcher, patcher, patcher

A la fin de l’étude, Proofpoint propose plusieurs pistes d’améliorations pour la sécurité à la fois des banques mais également des sites WordPress. Concernant les sites bancaires, Proofpoint recommande la double authentification. L’éditeur donne également quelques pistes pour la sécurisation de WordPress, en particulier les versions non patchées et montrent quelques outils permettant de scanner la sécurité de WordPress.

 





Autres News Malwares, Cyber Crime

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 144021
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI