Un malware d’un nouveau genre menace les banques

par | Fév 13, 2017 | Expérience | 0 commentaires

Plus de 140 banques victimes d’un malware d’un nouveau genre, qui n’utilise pas de fichiers, prévient Kaspersky Lab.

Les banques sont sous le coup de cyber-attaques redoublées depuis quelques années, mais l’ampleur du phénomène semble avoir été sous-estimée. D’après Kaspersky Lab, au moins 140 banques réparties dans 40 pays différents ont été pénétrées par des malfaiteurs ces dernières années.

Comment le malware a-t-il échappé aux contrôles ? C’est simple : il n’utilise pas de fichiers. La méthode utilisée ne place aucun fichier de malware sur le disque dur, mais les dissimule dans la mémoire vive des machines qu’il infecte, et s’appuie sur des outils d’administration (PowerShell, Metasploit, Mimikatz, etc.) dont il cache des morceaux dans la base de registre pour se propager sur le réseau.

Cette approche combinée permet de déjouer la détection par des technologies de listes blanches et ne laisse aux enquêteurs criminalistiques quasiment aucun artefact ou échantillon de malware sur lequel travailler. Les attaquants restent juste assez longtemps pour recueillir des informations, après quoi leurs traces sont effacées du système lors du redémarrage suivant. Cette approche combinée permet de déjouer la détection par des technologies de listes blanches et ne laisse aux enquêteurs criminalistiques quasiment aucun artefact ou échantillon de malware sur lequel travailler. Les attaquants restent juste assez longtemps pour recueillir des informations, après quoi leurs traces sont effacées du système lors du redémarrage suivant.

Cette technique, qui rend le malware pratiquement invisible, est proche de celle qu’utilisait Duqu 2.0, un dérivé de Stuxnet que Kaspersky a découvert il y a deux ans sur son propre réseau interne. Le nouveau malware, lui, a été découvert pour la première fois il y a un an. La méthode initiale de pénétration du réseau n’est pas connue.

Fin 2016, les experts de Kaspersky Lab avaient été contactés par des banques de la CEI. Celles-ci avaient trouvé dans la mémoire de leurs serveurs le logiciel de test de pénétration Meterpreter, actuellement utilisé fréquemment à des fins malveillantes, alors que celui-ci n’aurait pas dû y être. Kaspersky Lab a découvert que le code Meterpreter avait été combiné avec plusieurs scripts PowerShell légitimes et d’autres utilitaires. Les outils combinés avaient été adaptés à du code malveillant capable de se dissimuler dans la mémoire. De là, ils recueillaient discrètement les mots de passe d’administrateurs système, de sorte que les attaquants obtenaient le contrôle à distance sur les systèmes de leurs victimes. L’objectif final consistait à accéder aux processus financiers.

Dans le cas de ces incidents spécifiques, les attaquants ont utilisé toutes les techniques anti-criminalistiques imaginables; ils ont ainsi démontré qu’aucun fichier de malware n’est nécessaire pour réussir à exfiltrer des données d’un réseau, et comment l’utilisation d’utilitaires légitimes et open source rend quasiment impossible l’identification des responsables, estime encore Kaspersky Lab.

 

Recevez les prochains articles par email, tous les mardi
Sommaire
Un malware d'un nouveau genre menace les banques
Titre
Un malware d'un nouveau genre menace les banques
Description
Plus de 140 banques victimes d'un malware d'un nouveau genre, qui n'utilise pas de fichiers, prévient Kaspersky Lab.
Auteur
Editeur
Soluxions Magazine
Logo