Extorsion des données bancaires : voici les chevaux de Troie les plus répandus

Ces programmes malveillants ont été répertoriés par Kaspersky dans son rapport semestriel sur les cybermenaces financières. Ils sont différents, mais leur procédé est pratiquement le même : ils transmettent une fausse page de connexion à l'utilisateur, puis interceptent les données saisies.

Extorsion des données bancaires : voici les chevaux de Troie les plus répandus

Le 14 novembre 2019 à 17:17

Modifié le 14 novembre 2019 à 17:40

Au premier semestre 2019, Kaspersky a détecté plus de 10,49 millions d’attaques financières, soit 93% de plus par rapport à la même période de l’année dernière.

Et il ne s’agit là que des données collectées auprès des utilisateurs des solutions Kaspersky. Les chiffres consolidés des cybermenaces dans le monde devraient être beaucoup plus importants.

Ces attaques ont visé plus de 430.000 utilisateurs uniques selon le rapport. Et visaient essentiellement le recel de données bancaires, aussi bien sur ordinateur que sur mobile.

Les dix pays les plus touchés sont la Chine, la Biélorussie, le Venezuela, la Corée du Sud, la Serbie, la Grèce, le Cameroun, l’Indonésie, le Pakistan et la Russie.

Attention au mobile banking

Le Maroc ne figure pas dans ce top ten. Mais avec le développement attendu du mobile banking, il n’est pas exclu que les utilisateurs et les organismes financiers du royaume soient la cible d’attaques internes et externes.

Sur les smartphones, devenus des banques à part entière, les experts de Kaspersky ont d’ailleurs recensé plus de 3,7 millions de tentatives d’attaques. C’est plus du double des menaces répertoriées un an auparavant dans le monde.

Comment ces attaques ont elles été menées ? Par quels moyens ?

Asacub, le cheval de Troie le plus « populaire »

Sur mobile, cinq principales familles de programmes malveillants sont recensées. Et ils ne sont pas très différents des programmes détectés en 2018.

Ainsi, plus de la moitié (51,39 %) des utilisateurs ont été touchés par des programmes du type Asacub, qui a connu également un fort essor l’an dernier, notent les experts de Kaspersky. À l'apogée de sa popularité, ce programme malveillant a attaqué jusqu'à 40.000 utilisateurs par jour, révèlent-ils.

Ce chiffre élevé s'explique notamment par la méthode de distribution de ce cheval de Troie. Lorsque celui-ci pénètre dans le téléphone de la victime, il envoie des messages à tous ses contacts avec des liens de téléchargement du fichier d'installation.

Ce cheval de Troie mobile, qui vise les utilisateurs de téléphones et tablettes sous Android, a été détecté en 2015 déjà, mais se limitait jusque-là au vol d'informations classiques : contacts, applications installées, historique de navigation.

En 2016, il a muté et une nouvelle version vise désormais plus spécifiquement les utilisateurs de banques mobiles et en ligne, avec une interception et redirection des appels et SMS, la mise en place de phishing dans le navigateur.

La famille Asacub est suivie par la famille Agent (16,75 %). Il s'agit d'un terme générique qui désigne les chevaux de Troie bancaires qui ne peuvent pas être classés dans des familles particulières ou qui sont représentés par un seul échantillon.

Enfin, 14,91 % des utilisateurs ont été la cible du cheval de Troie Svpeng. Comme la plupart des chevaux de Troie bancaires, ces programmes transmettent une fausse page de connexion à l'utilisateur, puis interceptent les données saisies dans les champs Identifiant et Mot de passe.

Anubis, le programme qui se propage via WhatsApp et YouTube

Autre cheval de Troie : Anubis. Son procédé est particulièrement intéressant : il intercepte les données d'accès aux services de grands organismes financiers et les données d'authentification à deux facteurs (code par SMS), puis chiffre ces données en vue d'extorquer de l'argent.

"C'est l'un des rares chevaux de Troie bancaires qui se propagent via les applications de messagerie électronique instantanée, comme WhatsApp, et envoient un lien à la liste de contacts de la victime", signalent les experts de Kaspersky.

"Anubis est connu aussi pour être l'une des premières menaces pour laquelle des commentaires sur la plate-forme YouTube ont été utilisés comme centre de commande, c'est-à-dire comme plate-forme à partir de laquelle les attaquants gèrent les programmes malveillants", ajoutent-t-ils.

Cela fonctionne généralement de la façon suivante : les auteurs du programme créent une vidéo sur YouTube et écrivent une description ou un commentaire contenant une commande. Le programme malveillant se connecte ensuite à cette page vidéo, lit la description ou le commentaire et exécute la commande.

"Cette méthode a été utilisée car YouTube est une ressource publique. Par conséquent, lors de l'analyse du trafic d'un utilisateur infecté, même un expert en cybersécurité qui trouve un lien YouTube dans la liste des pages consultées ne le considère pas comme suspicieux. Il risque même ne pas réaliser que ces demandes n'ont pas été envoyées par l'utilisateur, mais plutôt par un programme malveillant. En outre, cette communication ne peut pas être bloquée, car l'utilisateur pourrait alors perdre accès à l'ensemble du site Web YouTube".

Le top 3 des chevaux de Troie sur ordinateur

Sur les ordinateurs, le procédé des attaques est le même. Mais c’est un autre type de programmes qui sévit. Ils attaquent essentiellement les entreprises et organismes financiers, ainsi que les utilisateurs des services bancaires en ligne.

Ainsi, 39,50 % des entreprises clientes de Kaspersky ont été attaquées par des chevaux de Troie RTM, un des échantillons les plus courants.

En deuxième place arrive Emotet, capable de charger des programmes malveillants sur un appareil infecté.

Arrive enfin le cheval de Troie Trickster, qui peut être installé sur l'ordinateur de la victime.

Ce classement est différent pour les utilisateurs privés : les chevaux de Troie RTM et Emotet susmentionnés occupent les deuxième et troisième places avec respectivement 24,5 % et 6,4 %, tandis que la première place revient à Zbot.

Ces programmes malveillants se propagent habituellement à l'aide de campagnes d’emails ou par le biais de sites de phishing.

Lors du premier semestre 2019, Kaspersky annonce avoir empêché plus de 339.000 tentatives de détournement d'utilisateurs vers des pages de phishing conçues comme des pages légitimes de grandes banques.

Comment se protéger contre ces menaces

Pour se protéger contre ces menaces qui peuvent coûter cher, Kaspersky a dressé dans son rapport une liste de recommandation à l'adresse des utilisateurs et des entreprises.

Pour les utilisateurs privés, il est ainsi recommandé :

-D'installer des applications provenant de sources fiables uniquement, telles que des magasins officiels ;

-De vérifier quels sont les droits d'accès et autorisations demandés par l'application : si ceux-ci ne correspondent pas à ce pour quoi le programme est conçu, il convient d'être vigilant ;

-De ne pas suivre les liens présents dans les spams et de ne pas ouvrir les documents joints ;

-D'utiliser une solution de sécurité fiable, y compris sur les appareils mobiles.

Pour les entreprises, les experts de Kaspersky conseillent :

-De sensibiliser les salariés à la cybersécurité, particulièrement ceux qui sont chargés de la comptabilité, pour leur apprendre à distinguer les attaques par phishing, ne pas ouvrir de pièces jointes ou cliquer sur des liens provenant d'adresses inconnues ou suspectes ;

-D'installer les derniers correctifs et mises à jour pour tous les logiciels utilisés;
-D'interdire l'installation de programmes provenant de sources inconnues ;
-De mettre en œuvre une solution EDR à des fins de détection, d'investigation et de correction rapide des problèmes en cas d'incidents au niveau du terminal (une telle solution peut même détecter des programmes malveillants bancaires inconnus) ;
-D'intégrer la Threat Intelligence dans le système SIEM et dans les contrôles de sécurité afin d'accéder aux données sur les menaces les plus pertinentes et à jour.

Extorsion des données bancaires : voici les chevaux de Troie les plus répandus

Le 14 novembre 2019 à17:40

Modifié le 14 novembre 2019 à 17:40

Ces programmes malveillants ont été répertoriés par Kaspersky dans son rapport semestriel sur les cybermenaces financières. Ils sont différents, mais leur procédé est pratiquement le même : ils transmettent une fausse page de connexion à l'utilisateur, puis interceptent les données saisies.

Au premier semestre 2019, Kaspersky a détecté plus de 10,49 millions d’attaques financières, soit 93% de plus par rapport à la même période de l’année dernière.

Et il ne s’agit là que des données collectées auprès des utilisateurs des solutions Kaspersky. Les chiffres consolidés des cybermenaces dans le monde devraient être beaucoup plus importants.

Ces attaques ont visé plus de 430.000 utilisateurs uniques selon le rapport. Et visaient essentiellement le recel de données bancaires, aussi bien sur ordinateur que sur mobile.

Les dix pays les plus touchés sont la Chine, la Biélorussie, le Venezuela, la Corée du Sud, la Serbie, la Grèce, le Cameroun, l’Indonésie, le Pakistan et la Russie.

Attention au mobile banking

Le Maroc ne figure pas dans ce top ten. Mais avec le développement attendu du mobile banking, il n’est pas exclu que les utilisateurs et les organismes financiers du royaume soient la cible d’attaques internes et externes.

Sur les smartphones, devenus des banques à part entière, les experts de Kaspersky ont d’ailleurs recensé plus de 3,7 millions de tentatives d’attaques. C’est plus du double des menaces répertoriées un an auparavant dans le monde.

Comment ces attaques ont elles été menées ? Par quels moyens ?

Asacub, le cheval de Troie le plus « populaire »

Sur mobile, cinq principales familles de programmes malveillants sont recensées. Et ils ne sont pas très différents des programmes détectés en 2018.

Ainsi, plus de la moitié (51,39 %) des utilisateurs ont été touchés par des programmes du type Asacub, qui a connu également un fort essor l’an dernier, notent les experts de Kaspersky. À l'apogée de sa popularité, ce programme malveillant a attaqué jusqu'à 40.000 utilisateurs par jour, révèlent-ils.

Ce chiffre élevé s'explique notamment par la méthode de distribution de ce cheval de Troie. Lorsque celui-ci pénètre dans le téléphone de la victime, il envoie des messages à tous ses contacts avec des liens de téléchargement du fichier d'installation.

Ce cheval de Troie mobile, qui vise les utilisateurs de téléphones et tablettes sous Android, a été détecté en 2015 déjà, mais se limitait jusque-là au vol d'informations classiques : contacts, applications installées, historique de navigation.

En 2016, il a muté et une nouvelle version vise désormais plus spécifiquement les utilisateurs de banques mobiles et en ligne, avec une interception et redirection des appels et SMS, la mise en place de phishing dans le navigateur.

La famille Asacub est suivie par la famille Agent (16,75 %). Il s'agit d'un terme générique qui désigne les chevaux de Troie bancaires qui ne peuvent pas être classés dans des familles particulières ou qui sont représentés par un seul échantillon.

Enfin, 14,91 % des utilisateurs ont été la cible du cheval de Troie Svpeng. Comme la plupart des chevaux de Troie bancaires, ces programmes transmettent une fausse page de connexion à l'utilisateur, puis interceptent les données saisies dans les champs Identifiant et Mot de passe.

Anubis, le programme qui se propage via WhatsApp et YouTube

Autre cheval de Troie : Anubis. Son procédé est particulièrement intéressant : il intercepte les données d'accès aux services de grands organismes financiers et les données d'authentification à deux facteurs (code par SMS), puis chiffre ces données en vue d'extorquer de l'argent.

"C'est l'un des rares chevaux de Troie bancaires qui se propagent via les applications de messagerie électronique instantanée, comme WhatsApp, et envoient un lien à la liste de contacts de la victime", signalent les experts de Kaspersky.

"Anubis est connu aussi pour être l'une des premières menaces pour laquelle des commentaires sur la plate-forme YouTube ont été utilisés comme centre de commande, c'est-à-dire comme plate-forme à partir de laquelle les attaquants gèrent les programmes malveillants", ajoutent-t-ils.

Cela fonctionne généralement de la façon suivante : les auteurs du programme créent une vidéo sur YouTube et écrivent une description ou un commentaire contenant une commande. Le programme malveillant se connecte ensuite à cette page vidéo, lit la description ou le commentaire et exécute la commande.

"Cette méthode a été utilisée car YouTube est une ressource publique. Par conséquent, lors de l'analyse du trafic d'un utilisateur infecté, même un expert en cybersécurité qui trouve un lien YouTube dans la liste des pages consultées ne le considère pas comme suspicieux. Il risque même ne pas réaliser que ces demandes n'ont pas été envoyées par l'utilisateur, mais plutôt par un programme malveillant. En outre, cette communication ne peut pas être bloquée, car l'utilisateur pourrait alors perdre accès à l'ensemble du site Web YouTube".

Le top 3 des chevaux de Troie sur ordinateur

Sur les ordinateurs, le procédé des attaques est le même. Mais c’est un autre type de programmes qui sévit. Ils attaquent essentiellement les entreprises et organismes financiers, ainsi que les utilisateurs des services bancaires en ligne.

Ainsi, 39,50 % des entreprises clientes de Kaspersky ont été attaquées par des chevaux de Troie RTM, un des échantillons les plus courants.

En deuxième place arrive Emotet, capable de charger des programmes malveillants sur un appareil infecté.

Arrive enfin le cheval de Troie Trickster, qui peut être installé sur l'ordinateur de la victime.

Ce classement est différent pour les utilisateurs privés : les chevaux de Troie RTM et Emotet susmentionnés occupent les deuxième et troisième places avec respectivement 24,5 % et 6,4 %, tandis que la première place revient à Zbot.

Ces programmes malveillants se propagent habituellement à l'aide de campagnes d’emails ou par le biais de sites de phishing.

Lors du premier semestre 2019, Kaspersky annonce avoir empêché plus de 339.000 tentatives de détournement d'utilisateurs vers des pages de phishing conçues comme des pages légitimes de grandes banques.

Comment se protéger contre ces menaces

Pour se protéger contre ces menaces qui peuvent coûter cher, Kaspersky a dressé dans son rapport une liste de recommandation à l'adresse des utilisateurs et des entreprises.

Pour les utilisateurs privés, il est ainsi recommandé :

-D'installer des applications provenant de sources fiables uniquement, telles que des magasins officiels ;

-De vérifier quels sont les droits d'accès et autorisations demandés par l'application : si ceux-ci ne correspondent pas à ce pour quoi le programme est conçu, il convient d'être vigilant ;

-De ne pas suivre les liens présents dans les spams et de ne pas ouvrir les documents joints ;

-D'utiliser une solution de sécurité fiable, y compris sur les appareils mobiles.

Pour les entreprises, les experts de Kaspersky conseillent :

-De sensibiliser les salariés à la cybersécurité, particulièrement ceux qui sont chargés de la comptabilité, pour leur apprendre à distinguer les attaques par phishing, ne pas ouvrir de pièces jointes ou cliquer sur des liens provenant d'adresses inconnues ou suspectes ;

-D'installer les derniers correctifs et mises à jour pour tous les logiciels utilisés;
-D'interdire l'installation de programmes provenant de sources inconnues ;
-De mettre en œuvre une solution EDR à des fins de détection, d'investigation et de correction rapide des problèmes en cas d'incidents au niveau du terminal (une telle solution peut même détecter des programmes malveillants bancaires inconnus) ;
-D'intégrer la Threat Intelligence dans le système SIEM et dans les contrôles de sécurité afin d'accéder aux données sur les menaces les plus pertinentes et à jour.

A lire aussi


Médias24 est un journal économique marocain en ligne qui fournit des informations orientées business, marchés, data et analyses économiques. Retrouvez en direct et en temps réel, en photos et en vidéos, toute l’actualité économique, politique, sociale, et culturelle au Maroc avec Médias24

Notre journal s’engage à vous livrer une information précise, originale et sans parti-pris vis à vis des opérateurs.