Des cybercriminels se font passer pour un organisme de bienfaisance
Pour diffuser le Trojan bancaire Ramnit

Le , par Stéphane le calme, Chroniqueur Actualités
Migrant Help est un véritable organisme de bienfaisance britannique qui offre un soutien aux migrants en détresse qui arrivent au Royaume-Uni. Des pirates se sont servi de son nom pour tenter d'infecter les victimes avec le trojan bancaire Ramnit. C’est en tout cas ce qu’a déclaré Action Fraud, le centre britannique de lutte contre la fraude et la cybercriminalité.

Un courriel avec le sujet « Merci d'avoir choisi de faire un don à la ligne d'assistance aux migrants » est envoyé à la victime potentielle, affirmant qu'ils ont récemment donné de l'argent à l'organisme de bienfaisance.

Les courriels contiennent un faux reçu pour lequel, comme indiqué par My Online Security, répertorie les noms et prénoms de la cible ainsi que leur numéro de téléphone réel. Si la méthode d’obtention de ces informations n’est pas précisée, le fait qu’ils se servent des véritables noms et numéro de téléphone de la victime contribue à rendre le courrier électronique plus authentique.

À ce propos, My Online Security écrivait « il est très inhabituel que les courriels de phishing aient un tel niveau de détail sur le destinataire / la victime. Ils doivent avoir accédé à une base de données piratée / compromise quelque part. Ce type de hameçonnage avec des détails personnels identifiables est le plus difficile à protéger. Une victime recevant de tels courriels, croit presque automatiquement qu'il doit être vrai et réel parce qu'ils utilisent leur nom et numéro de téléphone, puis panique et clique sur le lien pour voir ce qui se passe. Notez que ces cybercriminels utilisent un site SSL sécurisé HTTPS. HTTPS dans la barre de navigation ne signifie pas que le site est sûr ».

Le message contient un numéro de référence et invite ceux qui ont des questions sur leur don à cliquer sur un lien qui a été personnalisé pour contenir le nom de la cible, ledit lien va lancer le téléchargement d’un document censé contenir plus d’informations. Bien entendu les victimes seront susceptibles de le faire si elles n’ont jamais fait de don à l’association. Les victimes qui cliquent sur le lien sont dirigés vers un document Word en ligne qui télécharge la charge utile Ramnit sur leur machine.

Par la suite, les cybercriminels se sont également servis d’autres organismes de ce genre, comme HHGG-Donations, FGTD-Donations.

Action Fraud donne les conseils suivants pour prévenir ce genre d'évènements :
  • ne cliquez pas sur les liens ou n'ouvrez pas les pièces jointes que vous avez reçus et qui figurent dans des courriels non sollicités ou des messages SMS. Rappelez-vous que les fraudeurs peuvent "travestir" une adresse e-mail pour la rendre semblable à celle utilisée par quelqu'un en qui vous avez confiance. Si vous n'êtes pas sûr, vérifiez l'en-tête du courrier électronique pour identifier la véritable source de communication ;
  • installez toujours les mises à jour logicielles dès qu'elles sont disponibles. Que vous mettiez à jour le système d'exploitation ou une application, la mise à jour inclura souvent des correctifs pour les vulnérabilités de sécurité critiques ;
  • créez des sauvegardes régulières de vos fichiers importants sur un disque dur externe, une clé USB ou un fournisseur de stockage en ligne. Il est important que l'appareil sur lequel vous effectuez vos sauvegardes ne soit pas connecté à votre ordinateur étant donné que toute infection de logiciels malveillants pourrait se propager par cette voie ;
  • Si vous pensez que vos coordonnées bancaires ont été compromises, vous devriez contacter votre banque immédiatement.

L'institution insiste sur le fait que avoir son antivirus à jour est essentiel mais cela ne vas pas toujours empêcher que votre dispositif ne soit compromis.

Détecté pour la première fois en 2010, Ramnit se présentait sous la forme d'un ver informatique auto-répliquant qui a évolué en cheval de Troie permettant de gagner un accès distant aux ordinateurs Windows infectés et de subtiliser par la suite des données sensibles, comme des informations bancaires. En février 2015, suite à une opération menée par plusieurs États ainsi que des acteurs privés (parmi lesquels Microsoft, Symantec et AnubisNetworks) qui a été coordonnée par le centre de lutte contre la cybercriminalité d'Europol, un réseau de serveurs de contrôle du botnet Ramnit a été démantelé. Trois cents domaines internet exploités par les pirates ont également été redirigés.

Visiblement cela n’a pas suffi à stopper les infections de Ramnit puisqu’en décembre de lla même année, les chercheurs d’IBM ont mis la main sur une variante du cheval de Troie qui se base sur une infrastructure C&C différente de son prédécesseur et emploie un fichier de configuration plus court ainsi qu’un schéma d’injection web différent pour infecter les victimes. Les experts de la X-Force d’IBM expliquaient alors que « le cheval de Troie arborait un fichier de configuration lourd avec des déclencheurs d’URL qui lui indiquaient vers quelle banque, quelle transaction et quels sites de réseau social se tourner pour collecter des informations d’identification ».

Source : My Online Security, Action Fraud

Voir aussi :

La France en tête des pays ayant le plus d'utilisateurs infectés par des adwares d'après un rapport de Microsoft

Ramnit refait surface moins d'un an après l'offensive d'Europol contre ses serveurs de contrôle, une première pour un botnet bancaire selon IBM


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Contacter le responsable de la rubrique Accueil