Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Attaque de phishing @dial.oleane.com : Complément d'enquête

Attaque de phishing @dial.oleane.com : Complément d'enquête
2009-10-192013-02-11sécurité du poste de travailfr
Comme c'est très souvent le cas pour les attaques de phishing, l'attaque de phishing visant les clients ayant des adresses en @dial.oleane.com a subit quelques évolutions depuis mon article du vendredi 15 octobre. Contrairement à Vendredi, j'ai été en mesure d'approfondir l'analyse : Le...
Publié le 19 Octobre 2009 par Jean-François Audenard dans sécurité du poste de travail
Comme c'est très souvent le cas pour les attaques de phishing, l'attaque de phishing visant les clients ayant des adresses en @dial.oleane.com a subit quelques évolutions depuis mon Contrairement à Vendredi, j'ai été en mesure d'approfondir l'analyse : Le site indiqué dans le message était toujours fonctionnel. J'ai donc cliqué sur le lien proposé... et là, petite surprise. Je m'attendais à trouver un quelconque formulaire mais non, il s'agissait d'un autre classique dans son genre.
En lieu et place d'un formulaire de collecte d'informations personnelles (login, password, # de carte bancaire, etc...), la personne ayant cliqué sur le lien indiqué dans le message se retrouve sur une page ressemblant étrangement à un accès à un webmail entreprise de type Outlook Web Access (owa).

Sur cette page, on re-explique (encore en anglais) que des modifications ont été effectuées sur les paramètres de son compte de messagerie et qu'il est nécessaire de télécharger et exécuter le fichier proposé en téléchargement.

WebSite_MalwareDownload_19OCt2009.jpg
La page est plutôt bien construite et on peut remarquer qu'elle reste dans son look&feel homogène avec le mail reçu précédent. Un utilisateur trop peu soupçonneux pourra tomber aisément dans le panneau : Il téléchargera le fichier et l'exécutera : FATALE ERREUR.

Ce fichier contient en fait un logiciel malicieux qui va prendre le contrôle de la machine à l'insu de l'utilisateur.

Ne vous sentez pas protégés si vous avez un antivirus régulièrement mis à jour: Les tests que j'ai pu effectuer sur Virustotal montrent que sur un total de 41 moteur antivirus, seuls 13 ont identifié ce logiciel comme dangereux ; le score reste du même acabit (7 antivirus sur 21 identifient le malware avec succès) quand on lance les tests depuis le site Jotti Malware Scan.

virustotal_testresults_19Oct2009_18h16.png


Ces deux sites (Virustotal.com et Jotti's Malware Scan) permettent de tester un fichier suspect via les toutes dernières versions des moteurs antivirus. Un "must-have" pour identifier un vers, virus, trojan ou tout autre fichier douteux.

En regardant les résultats des tests, il est possible de lire qu'il s'agit d'un programme malicieux connu sous le nom de Zbot (PWS:Win32/Zbot.QA, Trojan-Spy.Win32.Zbot.gen, etc...). Nous avons ici affaire avec un logiciel espion spécialisé dans le vol d'identifiants de connexion à des sites bancaires. Celui-ci va s'exécuter de façon totalement transparente et va surveiller les connexions à des sites de banque en ligne : Dès que l'utilisateur se connecte sur son site bancaire, ses identifiants (login / password) vont être dérobés depuis son navigateur et envoyés discrètement vers un obscur recoin d'Internet.

La suite est facile à prédire : Votre compte bancaire va être "ponctionné" pour alimenter le compte des pirates à l'origine de cette attaque. Afin de conserver leur anonymat et de complexifier d'éventuelles recherches, un réseau de "mules" va être utilisé : Sujet d'ailleurs présenté dans cet article.

Imaginez deux minutes que le poste infecté soit celui de votre comptable ou de votre directeur financier : Le compte bancaire de votre société peut être littéralement vidé de plusieurs dizaines de milliers d'euros... Pour noircir le tableau, les banques sont souvent moins compréhensives en cas de problème et le niveau des franchises très supérieur à ce qui peut se faire pour un compte personnel...

Que faire si vous avez téléchargé et lancé cet exécutable ?
- Contactez votre banque et demandez à ce que vos identifiants de connexion soient changés, informez-les de la situation afin d'obtenir des recommandations de leur part
- Si des transferts d'argent ont été effectués, portez plainte et faites marcher vos assurances et autres garanties.
- Nettoyez votre machine afin d'éradiquer ce logiciel espion.
- Mieux encore : Sauvegardez vos fichiers et ré-installez votre système à partir des DVD d'origine. Cela prendra clairement de votre temps mais vous serez sur du résultat.

Conclusion
Ce type d'attaque est un grand classique qui est désormais monnaie courante sur Internet. Il convient donc de sensibiliser les personnes. Les solutions techniques, comme on a pu le voir, sont inefficaces. La sensibilisation et l'information sont donc des composantes essentielles d'une stratégie de sécurité.

Remerciements: Un grand merci à François T. pour sa disponibilité à me faire suivre ces mails de Phishing. Rappelez-vous de l'importance du réseau social que tout professionnel de la sécurité se doit d'avoir au sein de son entreprise !

2 Commentaires

  • 12 Janvier 2010
    2010-01-12
    par
    Cette attaque ciblant les utilisateurs d'OWA (Outlook Web Access) est détaillée dans le bulletin du 8 Janvier 2010 du SANS ISC.
  • 21 Octobre 2009
    2010-01-12
    par
    Effectivement, ZBot, qui est également connu sous les alias ZeuS,PRG,NTOS,WsnPoem notamment, est un trojan très actif sur Internet. Ce dernier, selon Trusteer, représente 44% de l'ensemble des trojan bancaires à l'échelle mondiale. Les criminels le contrôlant envoient plusieurs versions différentes tous les jours, permettant ainsi une très faible détection par les outils anti-viraux... De l'utilité de la sensibilisation, encore et toujours...

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage