Une nouvelle campagne utilisant le cheval de Troie bancaire dénommé Ursnif a été identifiée. Les pirates derrière cette campagne utilisent une nouvelle tactique pour diffuser le malware plus rapidement.
Le cheval de Troie bancaire Ursnif est l’un des chevaux de Troie les plus souvent signalés.
Comme les autres chevaux de Troie bancaires, son but est de voler des informations d’identification telles que les identifiants de connexion aux sites web bancaires, les coordonnées bancaires des entreprises et les informations relatives aux cartes de crédit. Les pirates peuvent ensuite utiliser les données volées pour effectuer des transactions financières.
Il n’est pas rare que les comptes soient vidés avant que les transactions ne soient découvertes, après quoi l’argent est retiré par les pirates et le compte fermé. Souvent, il est impossible de recouvrer les fonds volés.
L’infection entraîne le vol d’un large éventail de données sensibles par le malware, lequel saisira ensuite les informations d’identification au fur et à mesure qu’elles seront saisies dans un navigateur.
Ursnif effectue également des captures d’écran de l’appareil infecté et enregistre les frappes au clavier. Les informations d’identification vont alors être partagées avec le serveur C2 du pirate, à l’insu de la victime.
Les chevaux de Troie bancaires peuvent être mis en place de plusieurs façons. Ils sont souvent installés sur des sites web où ils sont téléchargés lors d’attaques par drive-by. Le trafic est envoyé vers les sites web malveillants par le biais de campagnes de publicités malveillantes ou de spams contenant des hyperliens.
Les sites web légitimes sont compromis par des méthodes par bruteforce, et des kits d’exploitation peuvent être installés sur les sites visités par les utilisateurs qui ne maintiennent pas leurs logiciels à jour. Dans de nombreux cas, les logiciels sont cachés dans des pièces jointes et partagés à l’aide de spams.
Le spam a déjà été utilisé pour partager le cheval de Troie bancaire Ursnif. La dernière campagne est similaire, mais elle fait aussi appel à une nouvelle tactique pour augmenter les risques d’infection et pour propager les infections plus rapidement et plus largement. Les institutions financières ont été la principale cible d’Ursnif, mais grâce à la nouvelle méthode qu’il utilise, les attaques sont beaucoup plus répandues.
Ursnif va d’abord scanner la liste de contacts de l’utilisateur et envoyer des e-mails de spear phishing à chacun de ses contacts. Étant donné que les messages proviennent d’un compte de messagerie électronique de confiance, les chances que les messages soient ouverts sont considérablement accrues.
Le simple fait d’ouvrir un e-mail n’entraînera pas d’infection. Pour que cela se produise, le destinataire doit cliquer sur la pièce qui y est jointe. Et là encore, comme le message provient d’une personne de confiance, il est fort probable que la victime le fasse.
Les pirates derrière cette dernière campagne ont une autre astuce pour faire en sorte que leurs messages semblent plus légitimes et pour s’assurer que leur charge utile soit lancée. Les e-mails de spear phishing contiennent des fils de messages qui font suite à des communications que la victime a engagées avec leurs contacts, et contiennent les détails concernant les échanges antérieurs.
Le message inclut une courte ligne de texte pour inciter le destinataire à ouvrir la pièce jointe qui est un document Word comprenant une macro malveillante. Cette macro doit être autorisée à s’exécuter, car les macros ne sont pas généralement configurées pour s’exécuter automatiquement. Si la victime active la macro, celle-ci va lancer des commandes PowerShell, téléchargeant le cheval de Troie. Ursnif commence alors à enregistrer l’activité sur le dispositif infecté et envoie d’autres e-mails de spear phishing aux contacts de la nouvelle victime.
Il ne s’agit pas d’une tactique originale, mais elle est nouvelle pour Ursnif, et il est probable que les infections vont se propager beaucoup plus rapidement. En outre, le malware utilise un certain nombre de tactiques supplémentaires pour contourner les systèmes de détection de malwares, ce qui lui permet de voler des informations et de vider les comptes bancaires avant que l’infection ne soit découverte. De plus, le cheval de Troie peut s’effacer de lui-même une fois qu’il s’est exécuté.
Les malwares sont en constante évolution et de nouvelles tactiques sont constamment créées pour augmenter la probabilité d’infection. La campagne la plus récente montre à quel point il est important de bloquer les attaques lancées via la messagerie électronique avant qu’elles n’atteignent la boîte de réception des utilisateurs finaux.
Si vous utilisez un filtre antispam avancé comme SpamTitan, les e-mails malveillants peuvent être bloqués pour les empêcher d’atteindre les boîtes de réception des utilisateurs finaux, ce qui réduit considérablement le risque que représentent les infections par les malwares.