Cybercrime : tactiques et techniques 3e trimestre 2017 - Malwarebytes
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Cybercrime : tactiques et techniques 3e trimestre 2017
TABLE DES MATIÈRES
01 Introduction 21 Arnaques au faux support technique
22 La FTC rembourse les victimes
02 Résumé
23 Piratages
03 Malwares MS Windows 24 Equifax
03 GlobeImposter 25 Informations d'identification personnelle
05 Locky 26 Violations de données
06 Trickbot
08 Emotet 27 Interpellations et condamnations
27 MalwareTech
09 Malwares Mac 27 Piratage de Game of Thrones
27 Violation des données de l'Office of
10 Malwares Android Personnel Management
28 Crackas with Attitude
11 Spams malveillants 28 Malware Fireball
13 Kits d'exploit 29 Entretien avec une chercheuse
14 Astrum via AdGholas 29 Mieke Verburgh
15 Nouveaux kits d'exploit
16 Expérimentations avec les 31 L'essentiel à retenir
kits d'exploit actuels
17 Kits d'exploit et ransomwares 32 Prévisions essentielles
18 Programmes potentiellement indésirables 33 Conclusion
18 SmartScreen
20 Des nouvelles d'Adware.Elex 33 Contributeurs
Introduction
Alors que l'été s'achève et que la nature revêt ses couleurs Dans cette édition du rapport Cybercrime : tactiques et
d'automne, il est l'heure d'une nouvelle édition du rapport techniques, nous couvrons les dernières actualités en
Malwarebytes Cybercrime : tactiques et techniques. matière de malwares et autres menaces, avec notamment
l'opération de malvertising la plus sophistiquée jamais vue, et
Le troisième trimestre 2017 a été marqué par un nous expliquons pourquoi les spams sont l'un des vecteurs
certain nombre d'événements qui ont été accueillis par préférés des cybercriminels pour propager de dangereuses
l'incrédulité et l'incompréhension. Du piratage des données familles de ransomwares telles que Locky et GlobeImposter.
confidentielles de 143 millions de clients de l'un des plus Nous offrons aussi quelques informations intéressantes pour
grands experts au monde en matière de sécurité et de lutte les utilisateurs de Mac et présentons en détail un nouveau
contre la fraude à l'interpellation d'un chercheur en sécurité cheval de Troie qui cible les smartphones sous Android avant
considéré comme un héros pour avoir aidé à mettre fin de finir par un entretien avec Mieke Verbugh, l'une de nos
à la plus grande attaque de ransomware jamais menée, chercheuses de longue date.
ce trimestre ne nous a rien épargné.
Préparez-vous à plonger dans ce rapport comme dans
un tas de feuilles d'automne !
Cybercrime : tactiques et techniques 3e trimestre 2017 1
Résumé
Ce trimestre encore, les ransomwares ne montrent aucun à désirer. Bien que les attaques contre les organisations
signe d'essoufflement. La famille de ransomwares Cerber commerçantes soient en déclin, le nombre de fichiers
continue de dominer dans sa catégorie, mais le retour clients compromis reste similaire aux trimestres
de Locky va mettre à mal sa domination dans les mois précédents. Le nombre de piratages de systèmes
à venir. Quoi qu'il en soit, le recours aux spams comme propriétaires reste élevé, mais les autorités poursuivent
moteur de distribution des nouveaux échantillons reste leurs efforts pour combattre ces attaques.
une constante pour les deux familles de malwares.
Ce trimestre a également été marqué par des
Si les spams sont le catalyseur de la livraison par interpellations en lien avec plusieurs incidents très
e-mail de nouveaux échantillons de malwares médiatisés, notamment celle des individus responsables
à des destinataires qui ne se doutent de rien, les des attaques contre l'agence fédérale américaine
cybercriminels continuent parallèlement de recourir de la fonction publique, HBO et le directeur de la CIA
aux kits d'exploit pour installer diverses variantes de John Brennan, ainsi que les individus qui pourraient
ransomwares sur des machines vulnérables. être les auteurs des familles de malwares Fireball et
Kronos. Par ailleurs, la FTC (Federal Trade Commission,
Dans la deuxième moitié du trimestre, le kit d'exploit commission fédérale du commerce aux États-Unis)
populaire RIG a commencé à livrer les familles de a annoncé la mise en place d'un fonds de 10 millions USD
ransomwares PrincessLocker et GlobeImposter. pour le remboursement des victimes d'Advanced Tech
Assurant la concurrence sur un segment autrement Support, l'une des arnaques au faux support technique
peu compétitif, le kit d'exploit Disdain a fait son la plus lucrative à ce jour.
apparition au début du mois d'août.
Les évolutions des tactiques et techniques employées
Fort heureusement, nos prévisions concernant par les cybercriminels nous étonneront toujours
l'apparition de nouveaux kits d'exploit similaires et les événements de ce trimestre montrent que
à celui créé par la NSA ne se sont pas réalisées pour rien n'arrête des pirates déterminés à obtenir des
l'instant. Les kits d'exploit doivent donc tirer parti de informations précieuses. L'augmentation des attaques
vulnérabilités obsolètes et cibler des ordinateurs qui contre les entreprises est terrifiante du fait du volume
ne sont pas à jour pour que l'exploitation réussisse. incommensurable de données que celles-ci détiennent
Heureusement pour les cybercriminels, il existe encore concernant leurs clients. Les entreprises comme les
beaucoup de machines dans ce cas. individus doivent rester vigilants dans leurs efforts pour
combattre les accès non autorisés. Dans ce combat, nous
Du côté des piratages, celui des informations devons tous adopter une attitude proactive en installant
confidentielles d'environ 143 millions de clients les mises à jour au plus tôt sur les systèmes critiques et
d'Equifax a dominé l'actualité. Réponse inadéquate, en respectant à la lettre les normes de sécurité.
faux sites Web... La gestion de cet incident par l'un
des plus grands experts au monde en matière de
sécurité et de lutte contre la fraude laisse beaucoup
Cybercrime : tactiques et techniques 3e trimestre 2017 2
Malwares MS Windows
Le segment des malwares MS Windows a connu de Malgré tout, nous observons toujours un très grand nombre
grands bouleversements ce trimestre. Les ransomwares de ransomwares agissant au vu et au su de tous, ainsi que
ont envahi le marché de manière transparente pour la des mineurs de cryptomonnaies et des spywares.
plupart. Cependant, ce trimestre, les principaux canaux
de distribution des malwares (kits d'exploit et spams Aujourd'hui, nous nous penchons sur quelques-unes des
malveillants) ont commencé à propager des malwares nouvelles familles de malwares et faisons un point sur les
qui avaient été obscurcis afin de les cacher des solutions familles qui ne veulent décidément pas disparaître.
de sécurité.
GlobeImposter
GlobeImposter tire son nom d'un précédent ransomware du Les victimes qui ouvrent ces documents MS Office ou
nom de ransomware Globe, car il utilise le même langage et scripts Microsoft spécifiques sont infectées par le fichier
le même format que la famille de ransomwares Globe. binaire du ransomware. Le fichier binaire est récupéré sur
un serveur distant par l'intermédiaire du fichier appât en
GlobeImposer a subi plusieurs modifications ces derniers pièce jointe.
mois et il est surtout distribué via des spams. Dans le
cadre de la campagne de spams Blank Slate, des e-mails
sont reçus sans objet ni texte, mais avec un fichier
malveillant en pièce jointe.
Figure 1. Écran de chiffrement GlobeImposter
Cybercrime : tactiques et techniques 3e trimestre 2017 3
Lors d'une campagne récente, nous avons pu observer
des e-mails contenant à la fois une pièce jointe et une URL
malveillante attachées à différentes variantes de GlobeImposter :
Figure 2. E-mail malspam de l'attaque GlobeImposter
Remarquez la faute de frappe « TOP » au lieu de « Tor »,
qui devrait être intégralement en minuscule.
Enfin, il convient de noter que certaines campagnes de
spams ont diffusé Locky à la place de GlobeImposter, les
deux ayant un modus operandi similaire.
Figure 3. Page de décryptage de GlobeImposter
Cybercrime : tactiques et techniques 3e trimestre 2017 4
Locky
Si vous lisez le blog Malwarebytes Labs et nos rapports
Cybercrime : tactiques et techniques, vous êtes sûrement
lassés d'entendre parler de Locky. En tout cas, c'est
notre cas !
Petit rappel : ce ransomware est connu pour ses campagnes
de grande envergure avec distributions quotidiennes de
sa charge utile. Locky n'est pas l'œuvre de débutants.
Beaucoup de temps et d'argent ont été investis dans le
botnet de spams qui utilise des serveurs Web compromis
pour héberger les charges utiles malveillantes de Locky.
Figure 4. Historique des extensions de Locky
En mai de cette année, Locky avait disparu. À sa place,
le ransomware Jaff était diffusé par Necurs, le plus
important botnet de diffusion de spams malveillants Locky est un ransomware persistant aux longues
(malspams) à l'heure actuelle. Jaff était distribué dans des périodes d'inactivité. Sans faire de prévision sur cette
e-mails contenant une pièce jointe zippée qui, une fois famille pour le dernier trimestre, nous tenons à rappeler
ouverte, exécutait un script pour télécharger et exécuter à nos lecteurs de faire attention lorsqu'ils ouvrent des
le ransomware. pièces jointes et de toujours garder leurs solutions de
sécurité à jour et prêtes à faire face à ce type d'attaque.
Juin a marqué le retour de Locky après la publication
d'un décrypteur gratuit pour le ransomware Jaff. Locky
utilisait l'extension .loptr et était distribué de la même
manière que Jaff. En août, Locky a encore une fois changé
d'extension. Cette fois, il utilisait l'extension .diablo6 et
l'e-mail d'attaque incluait un fichier .vbs zippé en pièce
jointe. Peu après, Locky a de nouveau pris une nouvelle
extension : .lukitus.
Enfin, en septembre, de nouvelles variantes de Locky ont
été détectées, portant cette fois la dernière extension :
.ykcol. Les créateurs de Locky doivent être à court d'idées
de nom d'extension, puisque .ykcol est simplement
l'anagramme de Locky.
Cybercrime : tactiques et techniques 3e trimestre 2017 5
Trickbot
Malware de vol d'identifiants, Trickbot a été observé en Vol de données étendu
circulation pour la première fois l'année dernière. Les
analyses effectuées par l'équipe de Malwarebytes Labs et L'une des fonctionnalités de la nouvelle version de
par d'autres chercheurs en sécurité notables ont permis TrickBot est sa capacité à voler des données, notamment
de déterminer que TrickBot est le nouveau projet de les identifiants Microsoft Outlook enregistrés. Il récupère
l'équipe responsable de Dyreza, un autre malware de vol aussi les cookies et l'historique du navigateur, sûrement
de données populaire. D'après les analyses, ce malware pour voler autant d'identifiants valides que possible.
techniquement moins sophistiqué que d'autres familles
présentait cependant un grand danger potentiel. Fait rare et intéressant observé pendant l'analyse, cet
échantillon compte un très grand nombre de chaînes de
En juillet de cette année, une nouvelle version de TrickBot débogage pour chaque action entreprise par le malware.
apparaissait dans des exploits d'actions intempestives Il peut y avoir deux raisons à cela : soit ce code a été volé
et des campagnes de spams malveillants. Dans les dans un logiciel légitime et incorporé au malware, soit
attaques d'actions intempestives, c'était le kit d'exploit cette version n'était pas censée être mise en circulation,
RIG qui distribuait ce malware. Dans les campagnes de car toujours en cours de développement.
malspams, le malware était livré dans un e-mail de fraude
bancaire par hameçonnage typique : l'utilisateur clique
sur un lien ou ouvre une pièce jointe pensant que l'e-mail
a été envoyé par une institution bancaire légitime.
Figure 5. Fonctionnalité de vol de données de TrickBot
Cybercrime : tactiques et techniques 3e trimestre 2017 6
Nouveau mode d'infection Importance de cette nouvelle fonctionnalité
TrickBot présente d'autres fonctionnalités, notamment En quoi le recours au mode « ver » par TrickBot est-il
l'énumération du réseau des victimes, la recherche pertinent ? L'utilisation des exploits SMB, le vol d'identifiants
de ports SMB (Server Message Block) vulnérables, le et le déplacement latéral sont des fonctionnalités rappelant
vol d'identifiants de connexion et la propagation sur les familles de ransomwares WannaCry et NotPetya
un réseau, tout en étant capable de s'installer sur des observées plus tôt dans l'année.
systèmes interconnectés à l'aide d'un script PowerShell.
Il ne s'agit pas d'attribuer la paternité de ce malware, mais
C'est ainsi que TrickBot devient TrickWorm ! de noter une fois de plus une tendance courante dans la
Cette fonctionnalité a été découverte par communauté de la cybersécurité : les cybercriminels font
FlashPoint et Deloitte. des émules. Dès qu'un mode d'attaque semble connaître
un certain succès, les criminels l'adoptent en masse en
La bonne nouvelle ? D'après les analyses, cette le copiant directement ou en adaptant leurs attaques en
fonctionnalité n'est pas opérationnelle sur les conséquence. Nous avons déjà observé cela avec les kits
versions observées en circulation. Néanmoins, le code d'exploit et les ransomwares, et nous l'observerons sans
d'activation de cette fonctionnalité « ver » étant inclus doute encore.
dans le fichier binaire, son utilisation par les créateurs
de TrickBot n'est qu'une question de temps.
Cybercrime : tactiques et techniques 3e trimestre 2017 7
Emotet
Ces derniers mois, Malwarebytes Labs a observé Passé l'infection initiale, le malware Emotet transforme
plusieurs campagnes de spams actives livrant le malware chaque machine infectée en un bot qui sert ensuite
Emotet via des fichiers .doc malveillants contenant des à cibler et infecter de nouvelles victimes.
macros obscurcies.
Depuis sa création, Emotet a sans cesse évolué pour devenir
Emotet est un cheval de Troie bancaire détecté pour un cheval de Troie modulaire qui met en œuvre diverses
la première fois par Trend Micro en 2014. Le malware, techniques pour assurer son évasion, sa persistance et sa
qui intercepte le trafic réseau pour voler les données diffusion. Il télécharge également d'autres malwares tels
bancaires, est encore développé activement, y compris que Dridex ou TrickBot pour collecter des coordonnées
plusieurs modules aux fonctions différentes. bancaires et d'autres identifiants.
Pour infecter un utilisateur, quatre interactions doivent Cette méthode d'ingénierie sociale via des spams
avoir lieu avec celui-ci : malveillants est devenue monnaie courante cette année
en témoignent l'essor de la distribution des malwares
• L'e-mail est reçu.
via les malspams et le déclin des infections via les kits
• Le document MS Word en pièce jointe est ouvert.
d'exploit. Sans nul doute, les diverses familles de malwares
• La macro est activée pour permettre l'activité
continueront d'avoir recours à cette méthode de distribution
malveillante via PowerShell.
et aux tactiques associées au dernier trimestre.
• Le cheval de Troie Emotet est installé sur la machine
de la victime.
Figure 6. Chaîne d'attaque d'Emotet
Le document MS Word utilise une tactique bien connue de
l'ingénierie sociale pour faire en sorte que les utilisateurs
installent le malware. Le document affiche une notification
selon laquelle il a été protégé et demande à l'utilisateur Figure 7. Les documents malveillants ont des noms tels que « Facture numéro
.doc », « Rappel de facture .doc », « Facture
d'activer les macros afin d'accéder à son contenu. Message.doc », etc.
Cybercrime : tactiques et techniques 3e trimestre 2017 8Malwares Mac
Les malwares Mac ont connu un essor important cette Cette situation a changé récemment. En juin, une
année. Ils ont déjà enregistré une croissance dépassant nouvelle version d'OceanLotus (observé pour la
240 % cette année alors qu'il reste encore un trimestre. première fois en 2015) a été découverte. En juillet,
Bien que la prolifération des malwares Mac ait légèrement une variante de Fruitfly (aussi connu sous le nom de
ralenti au troisième trimestre, ce sont les PUP qui ont Quimitchin), un malware découvert pour la première
posé les plus importants problèmes aux utilisateurs Mac. fois par Malwarebytes en janvier, a été détectée en
train d'infecter ses victimes dans des circonstances
Les vendeurs de PUP sont de plus en plus audacieux sur différentes de sa version originale. Plus tard ce mois-là,
Mac allant jusqu'à envahir l'App Store d'Apple. Il faut une nouvelle variante de Leverage (vu pour la dernière
s'attendre à ce que les PUP soient de plus en plus fois en 2013) a été trouvée en circulation sur le Web.
omniprésents sur Mac puisqu'ils ne sont pas bloqués
par les protections anti-malware intégrées au système Ces observations montrent que les Mac attirent des
d'exploitation et que leur détection reste difficile pour adversaires plus tenaces, qui commencent à trouver
la plupart des solutions de sécurité. leur intérêt dans l'infection des Mac. La part de marché
des Mac reste minime, mais ils sont de plus en plus
Parmi les menaces ciblant les Mac, une nouvelle populaires et leur soi-disant immunité aux malwares
tendance émergente est particulièrement intéressante. s'est révélée pour ce qu'elle est vraiment : un mythe.
Jusqu'à récemment, la plupart des malwares Mac étaient
détectés par Apple et bloqués par le système empêchant
ainsi l'exécution d'un malware à tout jamais. Dans de rares
cas, un malware continuait à muter pendant un cours laps
de temps avant de disparaître une fois que les méthodes
de détection appropriées étaient mises à disposition.
Maintenant disparu, MacDefender est un exemple parfait.
Celui-ci a fait l'objet d'une intensification des hostilités entre
ses auteurs et Apple. En effet, dès qu'Apple réussissait
à bloquer une version du malware, une nouvelle version de
celui-ci réapparaissait sous un nouveau nom. Cette guerre
n'a duré que quelques semaines, puis MacDefender a cessé
d'être une menace pour de bon.
Cybercrime : tactiques et techniques 3e trimestre 2017 9Malwares Android
Ces derniers mois ont vu l'augmentation progressive des Comme la plupart des malwares, Android/Trojan.Clicker.
clickers ciblant les utilisateurs Android. Les chevaux de hyj a un but lucratif. Ses deux méthodes de génération
Troie de type clicker ont pour but de générer des revenus de revenus sont la fraude à l'accès aux sites Web et les
en établissant continuellement des connexions Web abonnements à des services payants. Comme ses auteurs
dissimulées à l'insu des victimes. distribuent un grand nombre d'applications, cela se
Android/Trojan.Clicker.hyj est une nouvelle famille de traduit par des rentrées d'argent régulières.
clickers capables de fraude au clic et de spammer la liste de
contacts de leurs victimes afin d'infecter d'autres utilisateurs. Cette menace est présente sur les marchés d'applications
alternatifs, mais pas sur Google Play. Notre
Ces applications utilisent des noms de package recommandation : se procurer des applications
intéressants, tels que com.java.mail et org.mac.word, qui uniquement auprès de sources fiables.
semblent légitimes et fiables et pourraient induire en
erreur les victimes comme les chercheurs.
Fortement obscurcie, l'application Android/Trojan.Clicker.
hyj renferme plusieurs fonctionnalités qui la rendent
capable d'une variété d'actions. Ainsi, le package contient
plusieurs fichiers JavaScript qui s'activent dès qu'une URL
est détectée, par exemple pour rechercher des boutons
sur lesquels cliquer dans un site Web et ensuite cliquer
sur ces boutons pour entraîner une action.
Figure 8. URL Javascript de Android/Trojan.Clicker.hyj
Outre la fraude au clic, cette menace peut aussi accéder
à la liste des contacts de ses victimes et envoyer
à ces contacts des spams les invitant à souscrire un
abonnement à une bibliothèque vidéo payante.
Figure 9. Message spam envoyé par Android/Trojan.Clicker.hyj
Cybercrime : tactiques et techniques 3e trimestre 2017 10Spams malveillants
Comme nous l'avons vu jusque-là dans ce rapport, Les spammeurs savent que les utilisateurs des clients de
les spams restent le catalyseur de bien des actions messagerie électronique populaires voient rarement ces
malveillantes, qu'il s'agisse de la collecte d'informations, e-mails en raison des filtres stricts appliqués. Pour tenter
de l'infiltration des réseaux ou de la livraison des malwares de contourner des protections en constante évolution,
sur des systèmes vulnérables. Certaines des familles de ils utilisent des technologies automatisées qui aident
malwares les plus largement distribuées utilisent les spams à générer du contenu et à randomiser les charges utiles.
comme principal moteur de propagation de nouveaux C'est pourquoi il n'est pas rare de voir des centaines de
échantillons. Pourquoi ? Parce que les spams sont un moyen milliers de variantes d'une même campagne. Pour ceux qui
simple, fiable et éprouvé de distribuer des malwares et des ne disposent pas d'un accès ou des ressources suffisantes
campagnes d'hameçonnage. pour acquérir les services de botnets parfois coûteux, des
moyens plus économiques existent pour distribuer des
Les cybercriminels ont à leur disposition plusieurs outils e-mails en masse.
pour diffuser les spams malveillants (malspams). Les
botnets de publipostage comme le célèbre Necurs sont Les programmes de publipostage permettent à quiconque
capables d'envoyer des millions d'e-mails quotidiennement. possédant les capacités techniques de copier-coller du
Le contenu de ces e-mails est très variable, allant de la contenu pour envoyer des e-mails à des victimes innocentes
propagation de fausses nouvelles à la livraison des derniers tout en cachant l'identité et l'origine des responsables. Ces
échantillons de Locky ou Trickbot. Ce déluge d'e-mails programmes peuvent utiliser les adresses e-mail et les mots
inonde les boîtes de réception du monde entier dans l'espoir de passe provenant d'anciens piratages sans lien aucun afin
d'inciter ne serait-ce qu'une petite fraction des destinataires d'envoyer des e-mails aux victimes potentielles. Ils peuvent
à cliquer sur leurs liens ou fichiers joints. également utiliser des identifiants de connexion déjà
compromis pour envoyer des e-mails au nom d'utilisateurs
existants afin de contourner les filtres anti-spam. Si vous
avez déjà reçu un e-mail prétendant provenir d'un ami qui
propageait une campagne d'hameçonnage ou un malware,
ce vecteur d'infection est certainement le coupable.
Figure 10. Serveur de publipostage capable d'envoyer des e-mails personnalisés au nom de divers fournisseurs
Cybercrime : tactiques et techniques 3e trimestre 2017 11Si des campagnes de grande envergure telles que télémétrique dédié aux e-mails de Malwarebytes au cours
Locky ou Cerber sont très médiatisées en raison de leur du dernier trimestre. Le diagramme permet de visualiser
portée, il existe un grand nombre de campagnes non le pourcentage de ces signatures génériques sur le total
médiatisées qui distribuent des e-mails à un plus petit des échantillons reçus collectés, comparé aux campagnes
nombre de cibles. De moindre portée, ces campagnes, plus connues.
qui allient programmes de publipostage et messages
soigneusement formulés, visent des cibles bien La grande majorité des e-mails envoyés ne sont jamais lus
spécifiques et distribuent des malwares spécialement par des personnes. Sur les millions d'e-mails envoyés dans
conçus pour optimiser les chances d'infection. le cadre d'une seule campagne, une petite partie seulement
sera lue et un plus petit nombre encore de destinataires
Les caractéristiques malveillantes de ces petites cliquera sur le lien ou la pièce jointe. C'est pour cette raison
campagnes sont généralement regroupées dans que la réussite d'une campagne se mesure en centième de
des signatures globales en raison de la petite taille pour cent du nombre de messages envoyés. Comme on dit,
du jeu d'échantillon. Souvent appelées « signatures les filtres et signatures anti-spam doivent réussir à chaque
génériques », celles-ci rassemblent un large éventail fois, les pirates n'ont besoin que d'une fois.
de caractéristiques et comportements de malwares.
C'est bien pour cela que les spams vont rester
Le diagramme ci-dessous détaille les 20 principales l'un des principaux moteurs de diffusion des
variantes de malwares détectées par le système campagnes malveillantes.
Backdoor.Tofsee 0,68 %
Backdoor.Remcos 0,73 %
Trojan.Agent 0,82 % Trojan.MalPack Spyware.Pony
18,42 % 12,34 %
Spyware.KeyBase 0,93 %
Ransom.GlobeImposter 1,24 %
Ransom.Cerber
12,15 %
Trojan.Crypt 1,29 %
Trojan.Dropper 1,31 %
Ransom.Locky
Ransom.Crypt0L0cker 1,62 %
9,93 %
Trojan.TrickBot 2,23 %
Backdoor.NanoCore 2,29 %
Spyware.LokiBot
9,01 %
Spyware.HawkEyeKeyLogger 2,30 %
Trojan.PasswordStealer 3,54 %
Trojan.Injector Trojan.Nymaim Backdoor.Bot
5,34 % 6,90 % 6,91 %
Figure 11. Spams malveillants au 3e trimestre 2017
Cybercrime : tactiques et techniques 3e trimestre 2017 12Kits d'exploit
Un certain nombre d'événements intéressants touchant dans un avenir proche, alors qu'ailleurs un nouveau kit
les kits d'exploit ce trimestre méritent d'être traités, d'exploit ciblant MS Internet Explorer a fait son apparition.
notamment certaines expérimentations. Par exemple, Ce nouveau kit va-t-il être une menace pour acteurs
l'utilisation du protocole SSL par un acteur de moindre actuels ? Par ailleurs, la baisse de la distribution des
importance est peut-être une indication de ce que les ransomwares est une agréable surprise.
professionnels de la cybersécurité vont devoir affronter
Des sites compromis à l'origine de kits d'exploit ?
De manière générale, les sites Web compromis Il ne fait aucun doute que la qualité des outils
continuent de renvoyer vers des programmes d'ingénierie d'exploitation a un impact direct sur l'amplitude de
sociale tels que des arnaques au faux support technique distribution des malwares d'actions intempestives.
(via EITest, apparemment l'une des campagnes la plus Les systèmes de gestion de contenu ne sont pas
durable encore active) ou vers l'arnaque HoeflerText. soudainement devenus plus sûrs, loin de là. Comme
toujours, c'est le retour sur investissement potentiel
Cependant, des exceptions peuvent apparaître de temps
qui dicte les actions des cybercriminels.
à autre lorsqu'un site Web personnel est utilisé pour
renvoyer vers un kit d'exploit.
Figure 12. Iframe d'exploit intégré
Cybercrime : tactiques et techniques 3e trimestre 2017 13Astrum via AdGholas
Entre fin juin et début juillet, nous avons détecté Pour masquer le trafic entre le client et le serveur, ils
plusieurs vagues d'une des campagnes de malvertising utilisent le protocole SSL, qui, combiné à un kit d'exploit
la plus sophistiquée à ce jour, ce qui nous a permis d'en employant aussi des méthodes de chiffrement (ainsi que
apprendre plus sur certaines campagnes actuelles qui d'autres tactiques telles que la stéganographie), leur
restent difficiles à identifier. permet d'infecter silencieusement leurs victimes.
AdGholas est le nom d'un groupe d'annonceurs
malveillants qui ont perfectionné l'art de la clandestinité.
Pour éviter d'être repérés, ils créent de fausses identités et
procèdent à un triage hautement granulaire du trafic Web.
Figure 14. Protocole SSL utilisé dans la communication du kit d'exploit
Outre un bug de divulgation des données (CVE-2017-002),
Astrum exploite plusieurs vulnérabilités de Flash Player
Figure 13. Exemple de malvertising AdGholas
(CVE-201508651, CVE-2016-1019, CVE-2016-4117).
Cybercrime : tactiques et techniques 3e trimestre 2017 14Nouveaux kits d'exploit
Disdain EK est le nom donné à un nouveau kit d'exploit Ces derniers mois, nous avons également vu des
apparu via malvertising au début du mois d'août. Par son variantes de kits d'exploit existants ou disparus. Pour
URI (Uniform Resource Identifier, identifiant uniforme de le moment, il semble que les efforts se concentrent
ressource), Disdain ressemble à Terror EK, mais le code plus sur les campagnes de distribution (c'est-à-dire
utilisé dans les deux familles est très différent. le malvertising) que sur les outils nécessaires pour
infecter les victimes.
Disdain exploite avant tout les vulnérabilités de MS Internet
Explorer. Malgré plusieurs campagnes distribuant des
charges utiles différentes, le nombre d'infections a baissé
vers la fin du trimestre.
Figure 15. Trafic du kit d'exploit Disdain distribuant différentes charges utiles
Cybercrime : tactiques et techniques 3e trimestre 2017 15Expérimentations avec les kits d'exploit actuels
Malgré le ralentissement du développement de nouveaux La difficulté pour les experts de la cybersécurité repose
kits d'exploit et de la création de nouvelles fonctionnalités sur l'absence de visibilité lorsque le trafic réseau est
dans les kits actuels, nous avons tout de même observé crypté. Les techniques ou les outils requis pour procéder
une tendance intéressante quoiqu'inquiétante. C'est une au désobscurcissement du trafic (techniques de
chose pour les kits d'exploit les plus astucieux de tenter des « l'homme du milieu ») n'offrent pas de garanties et sont
techniques d'évasion et de compliquer leur détection par bien souvent interdits en entreprise.
les IDS (Intrusion Detection Systems, systèmes de détection
des intrusions), c'est un tout autre problème lorsque des Le trafic malveillant (dont les kits d'exploit) devrait
kits moins sophistiqués s'y essayent à leur tour. progressivement adopter le protocole HTTPS puisque
l'adoption globale de celui-ci progresse rapidement.
C'est pourtant le cas avec Terror EK, lui-même largement Rien de surprenant à cela.
inspiré d'autres kits d'exploit tels que Sundown EK.
Figure 16. Expérimentations avec Terror EK pour éviter la détection par les IDS
Cybercrime : tactiques et techniques 3e trimestre 2017 16Kits d'exploit et ransomwares
Les spams malveillants sont la principale source Ces campagnes de distribution n'étant pas les plus
d'infection par des ransomwares. C'est pourquoi il est populaires (Seamless et Fobos sont de loin les plus
inhabituel d'observer des kits d'exploit distribuant ce courantes), nous nous sommes demandé s'il s'agissait
type de charge utile. d'une expérimentation par un nouvel intéressé.
Entre fin août et début septembre, nous avons pu Déjà présent l'année dernière, PrincessLocker a subi des
observer le kit d'exploit RIG livrer les familles de modifications afin de rendre son décryptage impossible
ransomwares PrincessLocker et GlobeImposter. sans la clé.
Figure 17. Trafic de Princess Locker
Bien que GlobeImposter soit un ransomware populaire, sa
présence dans la livraison d'un kit d'exploit n'en est pas
moins surprenante. D'une envergure moins importante
que les autres, il pourrait s'agir d'une campagne visant
à tester différents mécanismes et charges utiles.
Aujourd'hui, rien ne justifie de se laisser infecter par
une attaque de téléchargement intempestif, car les
vulnérabilités exploitées ont été corrigées (depuis des
années dans certains cas). Mais nous devons rester
vigilants face au regain d'activité venant d'acteurs qui
Figure 18. Écran de verrouillage de Princess Locker testent de nouvelles fonctionnalités pour concurrencer
le kit d'exploit RIG toujours dominant, mais moins
performant d'un point de vue technique.
Figure 19. Trafic de GlobeImposter
Cybercrime : tactiques et techniques 3e trimestre 2017 17Programmes potentiellement indésirables
Lorsque nous avons commencé à détecter des Ce trimestre, nous les avons vu atteindre cet objectif
programmes potentiellement indésirables (PUP), avec le programme SmartScreen.
il s'agissait en majorité de barres d'outils et de faux Par ailleurs, nous en avons appris un peu plus sur
analyseurs. Nous continuons à voir ce type de PUP un PUP qui s'est aventuré un peu trop loin dans
en grands nombres aujourd'hui. La grande différence, les systèmes des utilisateurs, ainsi que sur les
ce sont les efforts entrepris par leurs développeurs répercussions lorsque les autorités s'en sont mêlées.
pour les diffuser et empêcher leur désinstallation.
SmartScreen
L'industrie des adwares se tourne vers des méthodes plus d'autre que de fausses promesses en retour en plus d'être
agressives pour faire parvenir ses publicités à une audience de plus en plus intrusifs.
potentielle. Par le passé, de nombreux programmes
affichant des publicités étaient considérés comme des PUP, SmartScreen est le parfait exemple de ce comportement.
car ils fournissaient quelque chose d'utile ou de bénéfique C'est l'un des pires adwares que nous ayons observés en
à l'utilisateur en contrepartie. Aujourd'hui, la plupart des ce sens. Ce logiciel contient des adwares et des PUP pour
programmes à visée principalement publicitaire sont empêcher leur suppression. Il utilise deux méthodes pour
considérés comme des malwares, car ils n'offrent rien parvenir à ses fins.
Figure 20. Fonctionnalité d'arrêt de processus du logiciel SmartScreen
Cybercrime : tactiques et techniques 3e trimestre 2017 18SmartScreen parasite la fonction CreateProcess de Le but de cette entreprise est transparent puisque
MS Windows afin d'inspecter les nouveaux processus SmartScreen inclut une composante de fraude
avant qu'ils soient autorisés à s'exécuter. Pour empêcher publicitaire capable de générer des revenus pour ses
la suppression des adwares du système infecté, il empêche créateurs. Ce package est aussi toujours le bienvenu
l'exécution voire l'installation des logiciels de sécurité sur dans les groupes de logiciels indésirables, car il empêche
la base du certificat de sécurité et du nom du processus. les victimes de supprimer le logiciel indésirable. Les
L'utilisateur reçoit alors le message suivant : « La ressource cybercriminels ont donc tout à y gagner.
demandée est en cours d'utilisation ».
Les efforts pour supprimer cette infection sont toujours
Le programme protège aussi contre l'arrêt de certains en cours, car les auteurs de ces menaces surveillent
processus et empêche l'utilisateur de supprimer des activement les mesures prises par la communauté des
fichiers et clés de registre critiques. Lorsqu'il tente chercheurs et développent des contre-mesures aussitôt
cette action, l'utilisateur reçoit le message suivant : que les nouvelles protections sont publiées.
« Suppression impossible ».
Cybercrime : tactiques et techniques 3e trimestre 2017 19Des nouvelles d'Adware.Elex
Le trimestre dernier, nous présentions une menace Aucune des cibles de ce malware n'était chinoise, car
particulièrement inquiétante : la famille d'adwares les adwares évitaient d'infecter les systèmes chinois
Fireball. Prenant leur origine en Chine, ces adwares afin de ne pas enfreindre la législation nationale.
incluaient une porte dérobée offrant un pouvoir total
pour exécuter des commandes à distance sur la Certains pays préfèrent parfois traquer les pirates
machine de la victime.
étrangers plutôt que les menaces qui agissent en
interne. C'est particulièrement le cas en Europe de
Inclus avec d'autres PUP dans un groupe de logiciels
l'Est et en Russie, où il est préférable pour préserver
indésirables, les adwares ont touché 250 millions de
son activité et échapper aux autorités de s'en prendre
systèmes dans le monde entier à un moment, d'après
aux utilisateurs occidentaux plutôt qu'à ceux de son
les recherches menées. Cette menace avait le potentiel
d'affecter les systèmes victimes des manières suivantes : propre pays.
• infection par des spywares ou des ransomwares ; L'arrestation des créateurs de Fireball signe-t-elle pour
• utilisation dans un botnet pour mener des attaques
autant la fin des infections ? Pas vraiment. D'après nos
DDoS contre des serveurs sur le Web ;
statistiques pour ce trimestre, il y a eu un fort déclin
• utilisation comme ferme pour les mineurs de Bitcoins ;
des détections de Fireball sur les systèmes infectés,
• utilisation pour diffuser des spams malveillants aux
mais il n'a pas complètement disparu. Pour rappel,
autres utilisateurs.
cette menace porte le nom d'Adware.Elex lorsque nous
La bonne nouvelle ? En juin dernier, 11 employés de la détectons.
Rafotech (la société qui se cache derrière Fireball) ont
été interpellés à Pékin. Apparemment, ces employés
avaient conscience des capacités de ces adwares et les
ont laissés infecter les utilisateurs malgré tout.
Figure 21. Fonctionnalité d'arrêt de processus du logiciel SmartScreen
La présence continue de cette infection résulte groupes de logiciels indésirables tiers. Quoi qu'il en soit,
probablement d'une infection préexistante au moment où nous espérons que cette menace va disparaître et que
les utilisateurs infectés font appel à Malwarebytes pour tous les développeurs ont compris que la sécurisation
nettoyer leurs systèmes. Il est également possible que de leurs codes est essentielle afin d'empêcher leur
des variantes de Fireball soient encore distribuées via des exploitation par des pirates à des fins néfastes.
Cybercrime : tactiques et techniques 3e trimestre 2017 20Arnaques au faux support technique
C'est sans surprise que la plupart des arnaques au faux Nous avons identifié deux opérations différentes : une au
support technique ciblent des consommateurs anglophones. Québec et l'autre à l'île Maurice. Mis à part un léger accent,
D'ailleurs, les drapeaux des États-Unis, du Canada, du les techniciens parlaient dans un français impeccable.
Royaume-Uni et de l'Australie sont souvent présents sur ces
sites pour représenter les pays dans lesquels leurs services Il va sans dire que la courtoisie s'arrêtait là. Une arnaque
d'assistance sont disponibles. Sachant que de nombreux reste une arnaque peu importe la langue dans laquelle
centres d'appel sont situés en Inde, où l'anglais est une elle est vendue.
langue officielle, c'est tout à fait logique.
Des exemples de demande de paiement sont reproduits
Cependant, les auteurs de ces arnaques ont commencé ci-dessous, y compris la tristement célèbre facture au
à se tourner vers d'autres langues il y a déjà quelque format Bloc-notes.
temps. Le modus operandi reste le même, la localisation
des opérateurs est la seule différence. Les faux appels Microsoft sont bien connus aux
États-Unis, moins dans d'autres pays, mais cela pourrait
Nous avons remarqué une augmentation des arnaques bientôt changer. Connaître les tactiques et techniques
au faux support technique ciblant des francophones employées par ces arnaques reste l'un des meilleurs
et avons enquêté afin d'en identifier les sources. En moyens de ne pas venir gonfler les rangs des victimes.
général, les victimes se font piéger par du malvertising et
des pages Web spécialement conçues qui utilisent des
tactiques d'intimidation.
Figure 22. Arnaque au faux support technique en français
Figure 23. Facture de services dans Bloc-notes pour une
arnaque au faux support technique
Cybercrime : tactiques et techniques 3e trimestre 2017 21La FTC rembourse les victimes
Le 28 août, la FTC (Federal Trade Commission, commission Malheureusement, ces 10 millions USD ne représentent
fédérale du commerce aux États-Unis) a annoncé la création qu'une infime partie des dommages causés aux utilisateurs
d'un fonds de 10 millions USD au bénéfice des victimes finaux par les activités d'ATS. La plupart des arnaques
d'Advanced Tech Support (ATS), l'une des arnaques au faux au faux support technique structurent leurs finances
support technique la plus lucrative à ce jour. ATS signe de façon à ce que la majorité des bénéfices reviennent
l'une des rares victoires contre les auteurs d'arnaques. au cercle limité des créateurs. Soit dit en passant, ces
Suite à une première injonction le 22 décembre dernier, créateurs dépensent généralement ces bénéfices dans
les autorités de Floride et la FTC ont réussi à mettre fin des signes extérieurs de richesses tape-à-l'œil et des
aux opérations d'ATS et à récupérer un volume de fonds cadeaux, rendant difficile la récupération des fonds.
important en vue de sa restitution. S'ils y sont parvenus, Dans le cas d'ATS, la société avait des liens financiers
c'est parce qu'ATS disposait d'une infrastructure, de biens avec un organisme de traitement des paiements externe
et d'un personnel conséquents aux États-Unis. En outre, basé au Canada, ce qui leur permettait de déplacer les
plusieurs employés d'ATS avaient divulgué des informations fonds à l'étranger avant d'attirer l'attention des autorités.
incriminant la société dans des commentaires sur les Même si un résultat mitigé comme celui-ci est frustrant,
réseaux sociaux et sur certains sites Web. C'est ainsi que les une victoire juridique décisive contre les créateurs d'une
autorités ont pu monter un dossier accablant qui démontrait arnaque au faux support technique est un fait rare qui
les malversations. devrait quelque peu dissuader les cybercriminels de
monter de nouvelles arnaques similaires aux États-Unis.
Au cours du dernier trimestre, Malwarebytes a observé
une forte baisse des signalements de victimes d'arnaques
au faux support technique basées aux États-Unis et une
hausse de ces arnaques basées au Canada.
Cybercrime : tactiques et techniques 3e trimestre 2017 22Piratages
Les entreprises doivent faire face à un déluge d'attaques Des organisations telles que la société d'évaluation de
perpétrées par des pirates infatigables dans leurs efforts cote de crédit Equifax, le fournisseur de contenu HBO
pour exploiter des systèmes confidentiels. Depuis les et même le réseau social Instagram ont été victimes
malwares aux demandes des ransomwares en passant de cyberattaques particulièrement néfastes et ont eu
par les failles et l'hameçonnage, les entreprises doivent se l'embarras d'assister, impuissantes, à la divulgation
parer contre tout un éventail de vecteurs d'attaque si elles publique de données propriétaires les concernant
veulent préserver l'intégrité et la sécurité de leurs systèmes. eux-mêmes ainsi que leurs clients.
Si les entreprises, peu importe leur taille, ne déploient
pas les mises à jour à temps ou qu'elles n'assurent pas Cette section revient sur les piratages les plus importants
une formation adaptée, les conséquences peuvent être et les plus dommageables de ce trimestre. Comme
dévastatrices, entraînant souvent des actions en justice toujours, ce rapport exclut les diverses vulnérabilités
coûteuses et portant un coup sévère à leur crédibilité. de bases de données signalées par les chercheurs
en cybersécurité, qui touchent potentiellement des
Malgré une baisse globale du nombre d'attaques centaines de millions de données personnelles, mais dont
financières médiatiques contre les grands noms du il n'est pas certain qu'elles ont été exploitées par des
commerce, le troisième trimestre 2017 n'en a pas été acteurs malveillants.
moins dangereux pour la sécurité des individus, comme
en témoigne le piratage des identifiants et données
personnelles de centaines de millions de personnes.
Cybercrime : tactiques et techniques 3e trimestre 2017 23Equifax
C'est l'incident incontournable : le piratage de la base de Soyons clairs : l'un des plus importants détenteurs au
données d'Equifax a compromis les données personnelles monde de données personnelles qui se décrit lui-même
critiques de 143 millions d'Américains. Pour les citoyens comme l'un des plus grands experts de la sécurité et de
américains qui lisent ce rapport : ce chiffre incroyable la lutte contre la fraude a démontré ici des compétences
signifie que vous êtes certainement concerné par ce en sécurité opérationnelle (OPSEC) choquantes et tout
piratage. Les noms, numéros de sécurité sociale, dates de simplement consternantes.
naissance, adresses et, dans certains cas, les numéros de
permis de conduire et les coordonnées de carte bancaire, Cette crise a déclenché des discussions parmi les
sont désormais à la disposition des responsables de professionnels de la sécurité et les législateurs
cette attaque. concernant la nécessité de revoir complètement les
mécanismes qui permettent d'accéder à l'ensemble de
Pour couronner le tout, la réponse d'Equifax suite à la nos informations les plus personnelles à l'aide d'un simple
révélation de ce piratage pourrait passer à la postérité code à 9 chiffres.
comme l'archétype d'une mauvaise gestion de crise de
relations publiques. Il y a tout de même une lueur d'espoir. En effet, à l'heure
où s'écrit ce rapport, les données piratées n'ont été mises
Depuis la divulgation tardive du piratage jusqu'à la vente à disposition sur aucun des canaux connus. On ignore les
préalable d'environ 2 millions USD de parts par des cadres implications de cette absence, car il est possible que les
de la société en passant par la clause d'arbitrage contenue pirates utilisent ces informations à leurs propres fins ou
dans ses sites de vérification et les faux sites Web, la dans le but d'extorquer une rançon en retour.
réponse à ce piratage a été un cafouillage total. Ce qui
est clair, c'est l'absence choquante de préparation de la Si ces données ne sont pas rendues publiques, les dégâts
part d'Equifax face à une cyberattaque. Des bases de causés par le piratage resteront sans doute limités.
données d'entreprise sécurisées par des identifiants aussi Au contraire, si les données sont mises à disposition
transparents que « admin/admin » au Chef de la sécurité de quiconque veut les télécharger sur Internet, les
titulaire d'un diplôme de musique dont les identifiants ont répercussions pourraient se faire sentir pendant
été retrouvés en vente sur le dark web, ce fiasco aurait des décennies.
pu être comique si les données piratées n'avaient pas un
potentiel aussi dévastateur pour les consommateurs. Pour en savoir plus sur ce piratage et les mesures
à prendre, consultez notre article (en anglais) : Equifax
aftermath: How to protect against identity theft
(Répercussions d'Equifax : comment se protéger contre
l'usurpation d'identité).
Cybercrime : tactiques et techniques 3e trimestre 2017 24Informations d'identification personnelle
Dans le plus important piratage du trimestre dans le Le 30 août, Troy Hunt a révélé qu'un spambot
secteur médical aux États-Unis, le Women's Health Group impressionnant avait rendu publics les identifiants
of PA a annoncé que l'intégrité de leur base de données d'accès à 711 millions d'adresses e-mail. Ces adresses
a été compromise, 300 000 patients étant concernés. e-mail peuvent être utilisées pour distribuer davantage
L'avis d'intrusion informatique date l'incident au 18 juillet et de spams et les identifiants d'accès peuvent permettre
indique que les noms, adresses, numéros de sécurité sociale aux spammeurs d'accéder aux comptes compromis pour
et dossiers médicaux des patients ont été affectés. envoyer des e-mails.
Un piratage du Ministère du Commerce du Kansas a permis Le 1er septembre apparaissent les premiers
à ses auteurs de récupérer les données de plus de 5 millions signalements d'une attaque possible contre Instagram.
de personnes vivant dans 10 États. Cette information n'a pas La société a confirmé par la suite que les identifiants de
fait l'objet d'un avis au public, mais a été découverte suite 6 millions d'utilisateurs ont été compromis. Peu de temps
à une demande de divulgation d'informations publiques. après, les pirates ont commencé à vendre les données
D'après un rapport de l'organisme Kansas News Service en des célébrités aux acheteurs intéressés sur le dark web.
date du 20 juillet, environ 5,5 millions de comptes utilisateurs
et numéros de sécurité sociale ont été compromis. Le 4 septembre, le service de notification d'intrusion
LeakBase a informé les acteurs du secteur de
Le 21 juillet, le New York Times a publié un article l'existence d'une base de données contenant les noms
détaillant la perte de 1,4 Go de données touchant environ d'utilisateurs, adresses e-mail et mots de passe codés en
50 000 clients du groupe financier Wells Fargo. Si les MD5 de plus de 28 millions de comptes Taringa, le plus
dommages peuvent sembler minimaux par comparaison grand réseau social d'Amérique latine. Malheureusement
avec le piratage d'Equifax, ensemble, ce petit groupe pour ces personnes, le chiffrement MD5 de leurs mots
de clients détient des fonds d'une valeur de plusieurs de passe ne protégera pas leurs données.
dizaines de milliards de dollars. Les personnes disposant
d'un compte bancaire aussi bien rempli chez Wells Fargo Le 26 septembre, le célèbre blog de sécurité
devraient surveiller leurs finances de très près. KrebsOnSecurity a rapporté une possible intrusion
touchant les restaurants Sonic. La chaîne de drive-in,
Le 10 août, plusieurs sources ont indiqué qu’un pirate qui possède presque 3 600 restaurants sur le territoire
anonyme avait revendiqué le vol des dossiers médicaux américain, a été informée de transactions suspicieuses
de 1,2 million de résidents du Royaume-Uni détenus par sur les cartes de certains de ses clients. D'après l'article
le NHS (système de santé publique britannique). Le NHS de KrebsOnSecurity, cette intrusion pourrait toucher
dément cette information, mais reconnaît l’intrusion dans environ 5 millions de cartes, ce qui en fait l'une des plus
son système. Des données personnelles telles que les importantes attaques de ce trimestre.
noms, dates de naissance, numéros de téléphone et
adresses e-mail auraient été compromis. Pour clore ce trimestre, le 28 septembre, Whole Foods
a révélé que les données de carte de crédit de ses
Le 29 août, CEX, le vendeur britannique de produits clients ayant effectué des achats dans ses restaurants
électroniques d'occasion, a révélé une intrusion dans ou ses bars ont été exposées à des pirates. Whole Foods
son système touchant 2 millions de clients. L'entreprise a expliqué que les points de vente concernés utilisaient
a indiqué que les pirates ont pu avoir accès à des des systèmes d'encaissement différents de ceux utilisés
données personnelles telles que des noms, adresses et par les magasins dans lesquels ils sont implantés.
numéros de téléphone. Amazon Inc, qui vient de racheter le distributeur
alimentaire américain, a confirmé qu'aucun autre service
d'Amazon n'était affecté.
Cybercrime : tactiques et techniques 3e trimestre 2017 25Vous pouvez aussi lire
