La France fait-elle une fois de plus exception dans le paysage international des menaces informatiques ?
C’est en tout cas ce qu’indiquent les dernières recherches menées par les chercheurs de Proofpoint, qui ont récemment surveillé un certain nombre de menaces, propagées en France via e-mails et kits d’exploitation.
Pays important en termes de services publics, d’entreprises et de population, la France est depuis longtemps la cible de divers types de cybercriminalité. D’ailleurs les chercheurs de Proofpoint ont récemment surveillé un certain nombre de menaces, propagées via e-mails et kits d’exploitation, qui visaient des organismes français, qui, à titre de comparaison, sont rarement la cible d’attaques dans d’autres pays. Ces menaces sont notamment des chevaux de Troie bancaires tels que Gootkit et Citadel/Atmos ainsi que divers procédés de phishing s’attaquant aux identifiants de connexion à des sites web d’organismes publics, d’établissements bancaires en ligne ou d’opérateurs Télécoms. Par ailleurs, la prévalence de la langue française à travers le monde a permis à ces pièges français de devenir des outils polyvalents capables de viser des zones francophones comme la Belgique, la Suisse et le Canada.
« Plus ça change » : logiciels malveillants et phishing continuent à sévir en France
Il s’agit notamment de chevaux de Troie bancaires tels que Gootkit et Citadel/Atmos ainsi que de divers procédés de phishing s’attaquant aux identifiants de connexion à des sites d’organismes publics (Ameli, Impots.gouv.fr….), des établissements bancaires en ligne ou des opérateurs télécoms.
De plus, la prévalence de la langue française à travers le monde a permis à ces pièges français de devenir des outils polyvalents capables de viser des zones francophones comme la Belgique, la Suisse et le Canada.
L’analyse permet d’apporter des explications, notamment aux questions suivantes :
- Quelles sont les attaques via e-mails et kits d’exploitation les plus utilisées en France ?
- Quel est le but de ces attaques ?
- Quelles sont les campagnes les plus récentes, et peut-être encore actives ?
- Comment fonctionnent-elles ?
Le rapport complet est disponible ici.
Chevaux de Troie bancaires
Gootkit est un cheval de Troie bancaire qui utilise les injections Web pour usurper les identifiants des utilisateurs infectés. Il peut également dérober des informations financières sensibles via la messagerie de la victime.
Gootkit a principalement été repéré lors d’attaques ciblant la France, l’Allemagne, l’Italie et le Canada, mais il a aussi parfois été diffusé avec des injections Web auprès de banques britanniques et polonaises. Après sa découverte initiale en juillet 2014, plusieurs chercheurs ont relevé des similarités entre les injections de Gootkit et celles utilisées par le cheval de Troie bancaire Zeus.
Les pirates propagent Gootkit aussi bien via des kits d’exploitation que par e-mail. La propagation par e-mail s’effectue principalement via des documents malveillants en pièces jointes contenant des macros ou des objets OLE exécutables.
Dans les deux cas, le logiciel malveillant, une fois exécuté, lance un processus explorer.exe ou svchost.exe et procède à l’injection. Il télécharge ensuite des composants supplémentaires via HTTPS sur le port 80. Gootkit injecte également du code dans les navigateurs afin de réaliser des attaques de type MITB (« man-in-the-browser »).
Outre les injections MITB, Gootkit utilise un filtre pour récupérer des informations sensibles dans les e-mails. Voici un exemple de filtre d’une instance de Gootkit :
emailfilter”:[{“from”:”*paypal*”,”to”:””,”subject”:””,”body”:””},{“from”:”*chase*”,”to”:””,”subject”:””,”body”:””}]}
Les injections Gootkit ciblent la liste suivante de processus :
- explorer.exe
- safari.exe
- chrome.exe
- opera.exe
- iexplore.exe
- lsass.exe
- mozilla.exe
- firefox.exe
- firef.exe
- maxthon.exe
- msmsgs.exe
- myie.exe
- avant.exe
- navigator.exe
- thebat.exe
- outlook.exe
- msimn.exe
- thunderbird.exe
- iron.exe
- dragon.exe
- epic.exe
- seamonkey.exe
Une campagne en particulier, détectée le 13 décembre, visait des cibles françaises, belges et italiennes, à l’aide du document frauduleux suivant, rédigé en français. Ce leurre est un document Microsoft Word dont l’en-tête explique qu’il a été créé dans une « version plus récente de Microsoft Office ». Tout comme le bouton Enable Content (Activer le contenu) dans les versions anglaises de Word, le bouton Activer la modification déclenche l’exécution d’une macro malveillante qui télécharge Gootkit.
D’autres campagnes similaires ont également utilisé des leurres rédigés en français pour la diffusion de Gootkit, avec un ciblage mondial cette fois, permettant son extension hors de France et son application à de nombreux pays et citoyens francophones à l’étranger.
Le cheval de Troie bancaire Dridex reste également actif dans des campagnes régionales à travers l’Europe, et notamment la France. En 2015, Dridex était l’un des plus présents parmi les logiciels malveillants exploitant la messagerie ; il a ciblé presque exclusivement la France au mois de juillet 2015, pour ressurgir ensuite au travers d’attaques plus précises, de moindre envergure, au deuxième semestre 2016. Dridex botnet ID 120 vise généralement les intérêts français, britanniques et irlandais.
Une récente campagne incluait des messages accompagnés de fichiers joints portant des noms tels que « statement52694.doc » ou « customer info 87859.doc » (chiffres aléatoires). Ces pièces jointes sont des documents Microsoft Word contenant des macros qui, une fois activées, téléchargent cette instance du cheval de Troie bancaire Dridex.
Citadel est un cheval de Troie bancaire relativement ancien, découvert pour la première fois en 2011 et descendant du cheval de Troie bancaire Zeus. Comme Gootkit, on a souvent observé Citadel visant des intérêts français. En 2016, une nouvelle variante nommée Atmos a fait son apparition. Citadel et Atmos s’attaquent tous deux à des données financières via des injections Web issues de Zeus, mais ils dérobent également des informations personnelles.
Dans une campagne de novembre 2016, les chercheurs de Proofpoint ont examiné une instance de Citadel s’intéressant aux mots clés et aux extensions de fichiers en lien avec :
- les distributeurs automatiques de billets et les logiciels et transactions SWIFT,
- les logiciels de comptabilité,
- les devises électroniques,
- les jeux.
Les e-mails envoyés dans le cadre de cette campagne étaient rédigés en français et contenaient des URL renvoyant vers des scripts .vbs compressés en RAR qui installaient Citadel.
Dans une autre campagne Citadel/Atmos, les pirates ajoutaient en pièce jointe une fausse confirmation de commande HTML (Figure 2) d’un supermarché français en ligne, incluse dans une archive auto-extractible. Une fois ouverte par les destinataires, l’archive apparaît dans une fenêtre de navigateur. Une fois fermée, un fichier vbs déclaré dans l’archive SFX se lance et installe le logiciel malveillant.
Kits d’exploitation – LatentBot/Graybeard
Le trafic de kits d’exploitation a considérablement chuté en 2016. Certains kits restent toutefois actifs, notamment une instance du kit RIG dirigée vers des cibles françaises. Les chercheurs de Proofpoint ont observé que RIG installait SmokeLoader sur des PC vulnérables, qui, à leur tour, installaient Pony Loader. Les charges utiles finales diffusées par Ponydans ce cas étaient LatentBot (aussi nommé Graybeard) et le logiciel de contrôle à distance TeamViewer.
LatentBot est un cheval de Troie capable de prendre le contrôle de systèmes infectés, dérober des données, surveiller à distance l’activité d’un système et corrompre des disques durs infectés. Il est également assez difficile à détecter car il ne laisse derrière lui que peu d’indicateurs de compromission, voire aucun.
Phishing
Le phishing des identifiants de connexion est un type d’attaque courant. En France, comme ailleurs, les pirates informatiques exploitent souvent l’image d’entreprises et d’entités renommées en copiant leur site Web et en usurpant leur identité de marque afin d’extorquer des informations spécifiques de leurs victimes. Ces dernières sont souvent attirées vers ces sites de phishing par le biais d’e-mails convaincants qui comportent des URL, affichent une identité de marque usurpée et des appels à l’action persuasifs.
Les commentaires sont fermés.