CyberHades
Les malwares suivent des modes, ou plus exactement des tendances techniques. Ce mois de juillet semble placé sous le signe « banquier ascendant multiplateforme » si l’on en juge par les multiples billets publiés dans la sphère sécurité.
Renato Marinho, de Mophus labs, décrit avec une certaine admiration l’audace d’une campagne de phishing bancaire Brésilienne propagée par SMS. Activation d’un lien externe, demande de données à caractère personnel et de numéros d’authentification, le SMS de phishing ne recule devant rien. Il va jusqu’à inciter la victime à photographier et envoyer une carte regroupant une série de numéro servant à la fois de second facteur d’authentification et de « one time pad ». Ce précieux viatique en poche, les escrocs à l’origine de l’attaque peuvent déclencher autant d’opérations frauduleuses qu’il n’existe de numéros encore actifs sur ladite carte.
Encore une attaque bancaire sortant de l’ordinaire, et décrite cette fois par Païvi Tynninen de F-Secure. Attaque d’autant plus intéressante qu’elle cible très précisément des organismes bancaires soit Autrichiens, soit Suisses. Le vecteur de diffusion utilise un très classique courriel de phishing, assez succinct et rédigé en Allemand : « Votre facture N° xxxx datant du xxxx ». Ce qui distingue cette attaque des autres du même genre, c’est que la charge utile est cette fois cachée non plus dans un seul, mais dans deux fichiers. L’un au format Excel ciblant les utilisateurs de systèmes Windows, l’autre au format directement exécutable Mach-O pour systèmes Mac OSX.
Un dernier piratage bancaire sous OSX pour la route ? Celui que décrit Ofer Caspi sur le blog de Checkpoint est assez inhabituel, puisque ses auteurs ont fait les choses dans les règles en achetant un certificat à Apple. Et c’est donc sous l’habit très respectable d’une application « signée » (diffusée une fois de plus via une campagne de phishing) que s’installe le malware. Lequel malware s’empresse de désactiver dans un premier temps les mises à jour de sécurité au nez et à la barbe de Gatekeeper, et détourne les communications avec les différents sites d’Apple. De cette manière, les risques de détection par des canaux de communication externes sont quasiment réduits à néant.
A partir de ce moment-là, le véritable travail du virus peut commencer. Il ouvre un proxy et un accès Tor, puis intercepte et détourne tous les échanges effectués avec une liste d’organismes bancaires exclusivement Suisses… on ne prête qu’aux riches. Lorsque la victime tente d’accéder à son compte bancaire en ligne, elle est détournée vers un pseudo serveur chargé de récupérer ses identifiants. Chose surprenante, c’est à ce stade de l’attaque que le malware en profite pour installer le client de messagerie instantanée chiffré.
