Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Trojans bancaires, compromission de serveurs… un marché noir toujours plus florissant !

octobre 2014 par Emmanuelle Lamandé

Tout peut s’acheter sur le marché noir de la cybercriminalité, surtout quand il s’agit de dérober des données personnelles, bancaires ou d’authentification..., véritable mine d’or du business malveillant ! Jean-Ian Boutin, Malware Researcher, ESET Montréal, revient sur quelques tendances fortes en matière de trojans bancaires et de compromission de serveurs, et présente trois exemples significatifs à l’occasion des Assises de la Sécurité. Au programme : Webinjects, modules android et « Opération Windigo ».

Webinjects : une affaire de spécialistes…

Au tout début, les trojans bancaires utilisaient principalement des keyloggers, puis des techniques plus légères, comme le form grabbing (récupération de formulaire). Ensuite, nous avons assisté à l’apparition des Webinjects pour des plateformes particulières, avant que ces techniques ne se généralisent.

Les Webinjects fonctionnent comme une attaque de type Man-in-the-browser. Ils peuvent ajouter du contenu, mais aussi en enlever, comme les messages d’avertissement des banques par exemple. Outre l’injection de champs additionnels, les Webinjects permettent de récupérer des données d’identification, mais aussi le numéro d’autorisation (système sécurisé dédié aux transactions), récupérer et changer le solde. Ils offrent aussi la possibilité d’avoir la mainmise sur le système de virements automatiques (ATS) et donc d’automatiser les transferts... Parmi les exemples de Webinjects, on peut citer « Phish-like inject ».

Même si les institutions bancaires tentent régulièrement d’améliorer la sécurité de leurs clients, via une authentification à deux facteurs par exemple, les attaquants arrivent quasiment toujours à contourner ces systèmes. Le social engineering est largement utilisé, par exemple, pour essayer de récupérer le numéro d’autorisation (TAN) ou de faire installer une application mobile malicieuse à l’utilisateur.

Les Webinjects s’avèrent toutefois relativement complexes, ce qui a entraîné la spécialisation de certains cybercriminels sur ce type d’attaque. Certains outils spécialisés existent désormais et des kits de Webinjects sont même vendus sur le marché noir. Sans compter que des panels d’administration sont maintenant disponibles avec les Webinjects les plus complexes. En outre, différents types de partenariats existent sur le marché noir : les Webinjects sont, en effet, soit vendus en version publique (accessibles à tous), en version privée (codés pour un client spécifique qui en garde la propriété) ou en partenariat (certains codeurs recherchent des opérateurs de botnet acceptant de partager les profits).

Modules android : un plus pour les offres de Webinjects

Des modules android/symbian/blackberry sont régulièrement utilisés pour détourner les SMS vers les mobiles des cybercriminels, afin de contourner le système d’autorisation bancaire mobile, mTAN. Plusieurs vendeurs de Webinjects offrent d’ailleurs aussi ce type de modules pour bonifier leurs offres. Parmi eux, on peut citer par exemple Perkele ou iBanking.

Perkele est une plateforme apparue en 2013, qui permet de rediriger les SMS. Elle offrait des dizaines de design pour différentes banques : une application pour une seule banque coûtait 1 000 dollars, l’application universelle coûtait, quant à elle, 15 000 dollars. Plusieurs trojans bancaires, comme Citadel, ont déjà utilisé Perkele.

La plateforme iBanking, apparue fin 2013, s’avère plus puissante que Perkele et dispose de beaucoup plus de fonctionnalités d’espionnage : vol de carnet d’adresses et de journaux d’appels, redirection de SMS, enregistrement des conversations, effacement des données du téléphone… Au mois de février 2014, le code source d’iBanking a été publié sur un forum underground.

Android KitKat a introduit une nouvelle fonctionnalité de sécurité qui rend le contournement de l’application de messagerie impossible. Cependant, la fragmentation des versions android ralentit fortement la protection des usagers.

Afin de se protéger, il conseille notamment d’utiliser une machine dédiée ou un live-CD, d’éviter les vecteurs d’infection, de rester vigilants sur les changements observés sur les pages Web, de ne pas installer d’applications android provenant de sources inconnues, ou encore de garder sa version android à jour…

« Opération Windigo » : plus de 25 000 serveurs UNIX compromis en deux ans

Le bureau de recherche d’ESET Montréal a également étudié en détails l’ « Opération Windigo », une vaste campagne d’attaques qui cible les serveurs linux dans le but d’infecter les postes. Plus de 25 000 serveurs UNIX ont été compromis au cours des deux dernières années (près de 10 000 le seraient toujours), permettant entre autres l’envoi de 35 millions de spam par jour. Pour mener à bien l’opération, les attaquants ont notamment eu recours à la backdoor Ebury. Celle-ci permet de prendre le contrôle des serveurs compromis, de voler des informations d’authentification quand un usager se connecte à un serveur compromis (mots de passe, clés privées), d’envoyer du spam…

Afin de se protéger de ce type d’attaque, il recommande de :
- Désactiver les connexions en tant que root daemon OpenSSH ;
- Désactiver les connexions utilisant des mots de passe et forcer l’utilisation des clés SSH ;
- Utiliser les fonctionnalités SSH Agent Forwarding pour éviter de copier votre clé privée de serveurs en serveurs ;
- Utiliser les deux facteurs d’authentification et un antivirus à jour…

La lutte passe aussi par la collaboration entre les différentes organisations. Si on agit ensemble, il sera possible d’éradiquer certaines familles, estime-t-il. Enfin, les entreprises peuvent également créer des « trust group » en qui elles ont confiance pour partager l’information sensible.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants