Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
quoideneuf1.over-blog.com

#Malware: Citadelle le Malware qui vise les organisations pétrochimiques du moyen orient

20 Septembre 2014 , Rédigé par nicko Publié dans #informatique

#Malware: Citadelle le Malware qui vise les organisations pétrochimiques du moyen orient

Récemment, des chercheurs d'IBM Trusteer ont identifiés des cyber-attaques ciblées sur plusieurs sociétés pétrochimiques du Moyen-Orient. Ils ont identifié une campagne dans laquelle les attaquants utilisent une variante du Malware Citadelle. Citadelle a été créé dans le but de voler de l'argent auprès des banques et a été massivement été distribué sur les ordinateurs des utilisateurs à travers le monde.

Bien que l'utilisation de logiciels malveillants de pointe qui a été construit à l'origine pour du vol financier comme un générique menace persistante avancée (APT) outil n'est pas nouveau, c'est la première fois que nous voyons Citadelle utilisé pour cibler les organisations non financiers dans une / attaque APT ciblée afin d'accéder éventuellement à des données d'entreprise, de voler la propriété intellectuelle ou d'avoir accès aux ressources d'entreprise sécurisés, tels que les systèmes de messagerie ou des sites d'accès à distance.

Les cibles de cette attaque sont l'un des plus gros vendeurs de produits pétrochimiques au Moyen-Orient et un fournisseur régional de matières premières pétrochimiques.

Le Malware Citadelle est sophistiqué

Le malware Citadelle a été découvert en 2012, l'époque, il était un malware man-in-the-browser conçu pour dérober des informations d'identification bancaires en utilisant webinjects. Depuis lors, les développeurs de logiciels malveillants ont considérablement augmenté ses fonctionnalités. Aujourd'hui, il offre un large éventail de fonctions puissantes pour voler des informations et contrôler à distance les ordinateurs infectés. Le malware fonctionne selon les instructions fournies dans un fichier de configuration. Une fois Citadelle est installé sur une machine, il va chercher un fichier de configuration sur l'un de ses serveurs de commande et de contrôle. Le fichier de configuration de Citadelle indique les sites Web et les applications a cibler, les informations à voler et comment voler.

Selon une analyse du fichier de configuration utilisé dans cette attaque, le malware Citadelle a été chargé d'examiner l'accès des utilisateurs à certaines adresses URL des systèmes connectés à Internet, comme le webmail des entreprises ciblées. Une fois que le navigateur accède à une telle URL, le malware est chargé de prendre toutes les informations fournies par l'utilisateur. Lorsque l'utilisateur envoie les informations dans le système, le navigateur génère une demande HTTP POST qui envoie les données entrées sur le site. Le logiciel malveillant intercepte alors les données POST avant qu'elles ne soit chiffré et envoyé au serveur.

Ci-dessous, la section correspondante dans le fichier de configuration (montré dans un format propriétaire Trusteer), avec les noms des entreprises ciblées expurgées:

#Malware: Citadelle le Malware qui vise les organisations pétrochimiques du moyen orient

Pour voler les identifiants de connexion qui permettent d'accéder au système de messagerie Web de l'entreprise, le malware semble cibler les URL comme http://mail.target-company.com», qui serait l'URL de connexion du système de webmail. Lorsque l'utilisateur soumet les informations de connexion, le logiciel malveillant prend le nom d'utilisateur, le mot de passe et toute autre information qui sont soumisent pendant le processus de connexion. L'information est transmise au cyber-criminel, qui peut alors se connecter sur le compte d'un utilisateur de confiance, accéder à des e-mails d'entreprise, envoyer des e-mails malveillants et plus.

#Malware: Citadelle le Malware qui vise les organisations pétrochimiques du moyen orient

Malware APT massivement distribuée

Ce n'est pas la première fois qu'un malware massivement distribué à l'origine conçu pour de la fraude financière est utilisé pour cibler les organisations non financiers dans une attaque de style APT. En 2010 nous avons écrit un article sur le retour de Citadelle qui fait partis d'une dizaines de familles de logiciels malveillants qui ont été initialement créés pour voler l'argent a des objectifs financiers, comme les banques. Ceux-ci comprennent les fameuses familles Zeus , SpyEye et Shylock. Au fil du temps, les développeurs de logiciels malveillants ont étendu les capacités de ces familles de logiciels malveillants et ajoutées des techniques d'évasion avancées pour les transformer en outils APT sophistiqués qui peuvent cibler les organisations en général.

Les fonctions typiques disponibles avec ces familles de logiciels malveillants sont les suivantes:

  • Keylogging: Enregistrement des frappes au clavier des utilisateurs frappes et les envoie à l'attaquant.
  • Capture d'écran: Enregistrement de la session du navigateur, y compris toutes les informations de l'utilisateur qui sont affichées.
  • Capture vidéo: Enregistrement d'un flux vidéo d'une session de navigateur, y compris toutes les informations de l'utilisateur qui sont affichées.
  • Vol de Formulaire (accaparement de HTTP POST): Une méthode utilisée pour acquérir l'entrée d'utilisateur à partir d'un formulaire de données Web avant qu'il ne soit envoyé à l'utilisateur. L'accaparement de HTTP POST présente de multiples avantages par rapport à d'autres méthodes de vol d'information comme par exemple l'enregistrement de frappe et la capture d'écran. Capter les données se passent juste avant qu'elle soit envoyée au serveur ce qui permet à l'attaquant de capturer les données complètes de l'utilisateur, même si l'utilisateur se sert d'un clavier virtuel ou d'un copié et collé dans le navigateur.
  • Injection HTML: Cette méthode est utilisée pour injecter du contenu HTML dans une page Web légitime afin de la modifier et de voler des informations d'utilisateur. Il est souvent utilisé pour afficher fausses alertes de sécurité et un texte personnalisé demandant des informations supplémentaires lors de la connexion, sur le navigateur sur un compte ou lors des transactions financières.
  • L'exécution à distance d'instructions de ligne de commande: Permet à l'opérateur de recueillir des données et de modifier les paramètres sur un ou plusieurs ordinateurs distants.
  • Commande à distance de la machine infectée: Permet un contrôle complet sur ​​le PC et le plein accès au réseau d'entreprise. Il se fait généralement par l'intermédiaire d'un système de partage de bureau graphique qui est utilisé pour contrôler à distance un autre ordinateur, tels que des outils réseau informatiques virtuelles.
  • Techniques d'évasion avancées: Conçu pour échapper aux antivirus et autres contrôles de sécurité traditionnels.
  • Techniques anti-recherche: Une variété de fonctionnalités sophistiquées pour contrecarrer les spécialistes des malwares de l'analyse les logiciels malveillants et la compréhension de ses opérations internes ou des méthodes d'attaque.

Bien que la tendance de l'utilisation de ces logiciels malveillants pour les attaques de style APT a été remarqués depuis quelques années maintenant elles restent assez méconnues . Les APT sont toujours mentionnés comme des attaques très ciblées qui utilisent des outils personnalisés spécifiquement conçus pour cibler une organisation ou un groupe d'organisations.

L'utilisation de logiciels malveillants massivement distribué signifie que les attaquants n'ont pas besoin d'hameçonnage pour touchés leurs cibles ou de conceptiualisé une personnalisation de logiciels malveillants. Au lieu de cela, ils utilisent des techniques de distribution de masse pour infecter le plus ordinateurs possible. Ces campagnes de distribution de logiciels malveillants peuvent utiliser les pièces jointes malveillantes, le drive-by downloads et des systèmes d'ingénierie sociale pour infecter des millions d'ordinateurs à travers le monde.

La recherche d'IBM Trusteer a révélé qu'en moyenne de une à 500 machines à travers le monde est infecté par des logiciels malveillants de style APT massivement distribué à tout moment. L'équipe de service d'IBM Trusteer rapporte qu'ils ont découvert ces logiciels malveillants dans pratiquement tous les environnements de client dans laquelle ils ont travaillé.

Les graphiques ci-dessous, sur la base de la recherche IBM Trusteer, montrent une carte des taux d'infection des logiciels malveillants de type APT massivement distribués par pays:

#Malware: Citadelle le Malware qui vise les organisations pétrochimiques du moyen orient

Source: securityintelligence

Partager cet article
Repost0
Pour être informé des derniers articles, inscrivez vous :
Vous aimerez aussi :
Alerte: Une vulnérabilité dans le navigateur d'anonymisation TOR révèle l'IP réelle de l'utilisateur
Alerte: Une vulnérabilité dans le navigateur d'anonymisation TOR révèle l'IP réelle de l'utilisateur
En piratant Kaspersky, Israël aurait surpris des espions russes piratant des espions américains, mais...
En piratant Kaspersky, Israël aurait surpris des espions russes piratant des espions américains, mais...
Avertissement: CCleaner piraté pour distribuer des logiciels malveillants, Plus de 2,3 millions d'utilisateurs infectés
Avertissement: CCleaner piraté pour distribuer des logiciels malveillants, Plus de 2,3 millions d'utilisateurs infectés
La société Zerodium Offre 1 million de dollars pour des exploits Zero-day dans le navigateur TOR qui seront revendu aux Gouvernements
La société Zerodium Offre 1 million de dollars pour des exploits Zero-day dans le navigateur TOR qui seront revendu aux Gouvernements
BitTorrent Bleep : la messagerie sécurisée pour Android, OS X et Windows
Lockheed Martin teste une tourelle laser pour le combat aérien
Retour à l'accueil
Commenter cet article

Pages

Catégories

Archives

Map

Theme: Classical © 2024 - Hébergé par Overblog

GoTop