Fortinet a découvert une vague de phishing émanant du botnet « Storm Worm »
janvier 2008 par Fortinet
Fortinet a découvert une vague de phishing émanant du botnet « Storm Worm ». Considéré par beaucoup comme le réseau d’ordinateurs zombies infectés le plus important, le plus actif et le plus solide, ce botnet peer-to-peer est connu pour envoyer, en quantités massives, des spams vantant les mérites d’actions de sociétés cotées (alias pump’n’dump spam) ou d’autres offres. Son implication dans une campagne de phishing bancaire marque une nouvelle étape dans l’évolution de Storm : si le spam est une nuisance, le phishing constitue une menace dont l’objectif est généralement de vider les comptes bancaires des internautes ciblés par l’attaque.
À l’heure où ce communiqué a été rédigé, la campagne de phishing visait les clients de la Barclays. Tous les e-mails sont similaires dans leur forme (cf. exemple sur l’illustration n°1 ci-dessous) et sont rédigés en employant les techniques rédactionnelles classiques d’ingénierie sociale visant à tromper les utilisateurs mal informés. Si ces utilisateurs peuvent avoir entendu parler des risques d’attaques informatiques frauduleuses sur les sites de banque en ligne, ils n’en demeurent pas moins incapables d’identifier ce type d’attaque. Les phishers ont souvent recours à cette démarche d’ingénierie sociale pour trois raisons :
1. un contrôle de sécurité est un bon prétexte pour demander à l’individu de se connecter à son compte ;
2. le « facteur peur » associé au contrôle de sécurité pousse également l’individu à suivre les instructions qui lui sont données ;
3. l’utilisateur peut penser que le contrôle de sécurité, par nature, ne peut pas être une attaque dont il est fait référence dans l’e-mail.
Illustration n°1 : tentative d’attaque de phishing sur les clients de la Barclays
Il est intéressant de noter que l’utilisation des techniques d’ingénierie sociale dans les e-mails existe depuis assez longtemps maintenant : il y a quatre ans, le rapport du 9 janvier 2004 de Netcraft mentionnait déjà ce type de menace. En d’autres termes, il est très probable que le support actuel ait été obtenu par un vieux kit de phishing.
Le site de phishing est hébergé sur un domaine « fast-flux » (une structure réseau solide, exploitée par le gang Storm depuis mi-2007 ; pour plus de détails sur les réseaux « fast-flux », reportez-vous à notre Analyse sur la menace Canadian Pharmacy). Le propriétaire du nom de domaine a été notifié, l’URL a été mise sur la liste noire du service de filtre Web de Fortinet et le modèle conçu pour bloquer les e-mails de phishing est inclus dans les définitions AV 8.598 de Fortinet.