Le malware bancaire Vawtrak : Kezako ?

Protection des donnéesResponsables ITSpamCybercriminalitéRansomwareSécurité
Vawtrak

Le malware bancaire Vawtrak : Kezako ?

vawtrakEn décembre 2014, SophosLabs avait publié un article intitulé : Vawtrak – International Crime-as-a-Service, et expliquant comment les cybercriminels avaient adopté le modèle “Pay As You Go”, qui est devenu si populaire dans le secteur de la technologie grand public.

Les cybercriminels ont mis à disposition et échangé des services pendant des années, par exemple en commercialisant les listes de spamming, en développant des programmes de malwares à la demande, en trouvant et en vendant des failles et d’autres vulnérabilités.

Cependant, une fois que vous avez alimenté un nouveau groupe de cybercriminels avec vos malwares et leurs codes sources associés, ainsi qu’avec un accès à vos mailing lists, vous ne pouvez plus réellement contrôler ce qu’ils feront avec toutes ces données fournies.

Le concept que nous appelons Crime-as-a-service, ou encore CaaS a changé la donne.

Les cybercriminels derrière le concept de CaaS conservent leurs malwares, avec des outils automatisés adéquats pour générer de nouvelles variantes de ces derniers, des techniques de personnalisation rapide du payload des malwares concernés, et enfin en s’appuyant sur leur réseau pour véhiculer les fichiers infectés en direction de leurs potentielles victimes.

Plutôt que de vendre leurs malwares, ils vendent un service de mise à disposition de malwares, avec des conditions d’utilisation associées, par exemple : N mots de passe volés auprès de X utilisateurs de la banque Y dans le pays Z.

En résumé, les clients CaaS au sein de ce monde cybercriminel invisible paient pour des résultats, sans vouloir se soucier et même sans vouloir comprendre les aspects technologies et les diverses astuces nécessaires pour mettre sur pied une attaque par malwares réussie.

En 2014, SophosLabs avait déclaré à ce sujet :

Ce modèle permet la spécialisation. Les différents aspects de l’opération peuvent être divisés en zones distinctes sur lesquelles les experts d’une même équipe peuvent travailler de manière indépendante. Par exemple, des webinjects en allemand peuvent être gérés par des membres de l’équipe parlant l’allemand, le code qui a été conçu pour bypasser le 2FA peut être écrit par une autre équipe pour aboutir à un code plus simple où certaines informations complémentaires demandées ne sont pas nécessaires, et enfin les données volées pourront être réparties de la même manière.

Webinjects ?

Les Webinjects est une astuce sournoise utilisée dans les malwares bancaires tels que Vawtrak pour dérober les données sensibles d’un utilisateur.

Les attaques par hameçonnage classiques essaient en général de vous duper en vous présentant un site bancaire bidon, dans l’espoir que vous y entrerez vos informations confidentielles, afin d’y mettre la main dessus.

Les Webinjects, par contre, attendent que vous visitiez un authentique site bancaire, de manière à conserver tous les indicateurs de sécurité au vert au niveau de votre navigateur.

Au dernier moment, le malware modifie les pages web du site original, en altérant ces dernières au niveau de la mémoire après les avoir déchiffrées et authentifiées, mais juste avant que votre navigateur ne les affiche.

Cela signifie que la malware peut récupérer certaines données confidentielles telles que les mots de passe, en vous présentant de faux champs de saisie au sein de pages, quant à elles officielles, elles-mêmes associées à des sites web officiels. Voici une technique complètement différente et bien plus difficile à détecter que le traditionnel hameçonnage.

Les ransomwares ont-ils pris le contrôle ?

Néanmoins, malgré toute la sournoiserie des malwares bancaires, l’actualité cybersécurité récente a été dominée par les ransomwares.

En effet, les ransomwares frappent rapidement et fort, et en général vous laissent seule face à une décision inévitable à prendre rapidement : “Payer ou ne pas payer ?

Du coup, vous pourrez sans doute être pardonné pour avoir estimé que les webinjects ainsi que les malwares bancaires étaient sur le déclin.

Cependant, il s’agit là d’une grave erreur d’appréciation !

Vawtrak 2 : le retour !

Le gang Vawtrak n’est pas seulement toujours actif et performant, mais de plus il a fait évoluer son malware, en permettant aux clients de leur Crimeware-as-a-Service de cibler davantage de victimes, dans plus de banques et plus de pays.

La situation a poussé les experts du SophosLabs à écrire un rapport de suivi avec toute une série de nouveaux éléments :

Depuis notre précédente analyse concernant le malware bancaire Vawtrak, il y a eu de nombreuses mises à jour importantes apportées au code ainsi qu’aux institutions et organisations financières qui avaient été prises pour cible. Il y a eu également des campagnes massives qui ont été utilisées avec succès pour répandre la nouvelle version de Vawtrak.

Lisez le rapport pour avoir un aperçu plutôt intéressant sur le concept de Crimeware-as-a-Service, version 2016 !

Apprenez comment les cybercriminels pensent …

… et encore mieux, pour paraphraser Sun Tzu, apprenez à connaitre votre adversaire.



//
Billet inspiré de “Vawtrak banking malware – know your enemy” par Paul Ducklin de Naked Security
Partagez “Le malware bancaire Vawtrak : Kezako ?” avec http://wp.me/p2YJS1-2IV

Leave a Reply

Your email address will not be published.