Petit Trojan entre amis : Bredo-BG

Partager

Autre attaque visant les clients Orange Business Services : A contrario de l'attaque visant les utilisateurs de cartes Internet 3G Orange, la ficelle est assez grosse et le montage technique est assez simple car les mécanismes de protection en place ont été relativement efficaces.

Tout commence par un spam

Au démarrage, on retrouve un spam dans sa boite au lettres. Celui-ci est très simpliste et peu engageant : Du texte "brut" sans fioritures ni images, tout en anglais (avec même des fautes!) et pas d'URL pointant vers le cheval de Troie mais le fichier a été directement mis en pièce jointe.

Une fois n'étant pas coutume, l'antivirus de messagerie a été en mesure de détecter qu'il s'agissait d'un fichier infecté. Il l'a donc automatiquement remplacé par un fichier texte contenant quelques informations sur le cheval de Troie bloqué.

Caractéristiques du cheval de Troie

Une rapide analyse nous donne comme infos :
- Le cheval de Troie (Bredo-BG) communique avec l'extérieur via HTTP.
- L'adresse IP vers laquelle il se connecte est connue : Un serveur dédié aux Pays-Bas.
- Cette adresse IP est présente dans des listes noires

Protections multiples

La mode (dans le monde de la sécurité) étant à la ceinture et aux bretelles ; en sus du premier rempart de protection qu'est l'antivirus de messagerie ; il conviendra de mettre en place un système de filtrage d'URL au niveau de votre accès Internet : Celui devrait être notamment configuré pour bloquer toutes les connexions à destination d'adresses IP de "mauvaise réputation".

Avec un tel mécanisme, si l'antivirus ne détecte rien, ce cheval de Troie ne pourra pas se connecter vers son centre de commande, ceci empêchant tout contrôle à distance ou envoi d'informations sensibles vers l'extérieur.

Une attaque assez simple
En tout cas, on pourra conclure que celle attaque est plutôt binaire : Le nombre de "victimes" devrait tendre vers zéro... C'est plutôt une bonne chose.

Remerciements
Un "Merci" à François T. pour ces mails de phishing en provenance directe des plateformes de messagerie d'Orange Business Services.

Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la prise en compte de la sécurité dans le cycle de vie des produits et services. Je suis passionné par la sécurité informatique et prends énormément de plaisir à partager cette passion via des vidéos, présentations et articles. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens. Vous avez des questions, des idées, des propositions : vous savez où me trouver ! :-)