Opération Emmental : des trous de sécurité pour la banque en ligne

CloudMobilitéOS mobilesRisquesSécurité
operation-emmental-securite

Trend Micro a mis le doigt sur une campagne de cyber-attaques ultra-sophistiquées visant à déjouer les systèmes de double authentification des services bancaires en ligne.

Un malware pour Windows, une application Android malveillante, un faux résolveur DNS, un dispositif de phishing Web et un serveur C&C : voilà l’infrastructure exploitée par des pirates vraisemblablement russophones dans le cadre de l’Opération Emmental.

Ainsi Trend Micro a-t-il baptisé cette campagne de cyber-attaques visant les clients de 34 services de banque en ligne dans quatre pays (Autriche, Japon, Suède et Suisse). L’éditeur spécialiste de la sécurité informatique est formel : il s’agit là d’un assaut sans précédent en termes de sophistication. Les pirates utilisent en l’occurrence des techniques connues (spoofing, phishing, social engineering…), mais ils les combinent pour passer au travers des systèmes d’identification en se jouant notamment de la protection théoriquement offerte par les codes d’authentification de session (“tokens”).

Première phase : l’approche. Les malfaiteurs se font généralement passer pour une entreprise de confiance et envoient à l’utilisateur un mail personnalisé, dans sa propre langue. Le véritable déclencheur, c’est le document RTF en pièce jointe : il intègre un fichier CPL – élément du panneau de configuration – que la victime est invitée à ouvrir, quand bien même Windows émet une alerte de sécurité.

L’exécution dudit fichier entraîne une infection par un programme malveillant appelé netupdater.exe et déguisé en outil de mise à jour Windows. Son rôle : modifier les paramètres du système de noms de domaines (DNS) pour rediriger le trafic vers un serveur contrôlé par les pirates… qui peuvent alors gérer la façon dont le système infecté résout les domaines Internet. Mais netupdater.exe installe aussi un nouveau certificat SSL racine qui permet d’afficher du contenu de sites de phishing sécurisés en HTTPS sans que le navigateur en avertisse l’utilisateur. Sa tâche remplie, l’exécutable s’autodétruit sans laisser de trace.

Dès lors, les accès aux sites des banques (6 en Autriche ; 7 en Suède ; 16 en Suisse ; 5 au Japon) sont systématiquement redirigés vers un serveur malveillant. Et plus précisément sur une page de phishing demandant à l’utilisateur de s’identifier en renseignant tout particulièrement les codes d’identification personnels (PIN) qui lui servent de mots de passe.

operation-emmental-malware
Un mécanisme complexe à activer, mais radical.

Deuxième phase

L’exaction ne se termine toutefois pas ici. L’utilisateur est ensuite invité à taper un mot de passe unique (le fameux “token”) envoyé par SMS en guise de protection supplémentaire, comme c’est le cas sur la plupart des sites de banques en ligne. Sauf que la transaction n’ayant rien de légitime, le texto n’arrive jamais. Cliquer sur “Je n’ai pas reçu de SMS” redirige vers le téléchargement d’une application Android (.apk)… laquelle ne contient en fait qu’une liste prédéfinie de mots de passe potentiels. La page Web vérifie simplement si l’un d’entre eux a bien été entré et fait mine de valider l’accès sécurisé au site.

La véritable utilité de l’application, c’est pour les pirates, qui peuvent l’exploiter pour prendre le contrôle total de la session de services bancaires en ligne de l’utilisateur en interceptant tous les “vrais” codes d’identification envoyés par la banque. Couplé aux renseignements fournis via la page malveillante, ce “token” permet aux cyber-criminels d’effectuer des transactions au nom de l’utilisateur.

Même en l’absence de connexion Internet, l’application peut transférer des données par SMS. Y compris des informations personnelles identifiables (IPI) : numéro de téléphone, opérateur réseau, région géographique, etc. Parcourant automatiquement les SMS à chaque démarrage, elle dispose de sa propre base de données SQLite pour stocker messages et paramètres. Elle peut aussi accepter des commandes à distance comme START, STOP et DELE. Quant à sa désinstallation, elle provoque l’affichage d’un message d’avertissement dissuasif.

Messages du journal de l’application, vérification de l’origine de la carte SIM avec un focus sur les pays d’Europe de l’Est : de nombreux indices laissent à penser que l’attaque trouve son origine en Russie, avec un éventuel relais en Roumanie. Trend Micro cherche surtout à inculquer aux institutions financières cette nouvelle réalité pour les pousser à améliorer leurs systèmes d’authentification des transactions. Certaines proposent déjà des codes TAN sous forme d’image ou des lecteurs de cartes physiques, mais les coûts de mise en place en font souvent des services disponibles en option ou réservé aux clients premium.

application-mobile-operation-emmental
L’application mobile donne les pleins pouvoirs aux pirates.

—— A voir aussi ——
Quiz ITespresso.fr : quelles sont vos connaissances en matière de sécurité sur Internet ?

Crédit photo : wk1003mike – Shutterstock.com


Lire la biographie de l´auteur  Masquer la biographie de l´auteur