Le cheval de Troie CamuBot fait son retour sur la toile

Le malware CamuBot, connu pour cibler les clients des banques brésiliennes, a signé son retour avec une série d’attaques ciblées. La dernière vague d’attaques est hautement personnalisée et, contrairement aux campagnes précédentes, cible les applications bancaires sur les mobiles des victimes comme étape supplémentaire pour échapper à la détection lors de transferts frauduleux.

Les chercheurs ont déclaré avoir observé la distribution du malware CamuBot dans deux campagnes très ciblées au cours des six derniers mois, dont une entre août et septembre, puis une autre entre octobre et novembre. La campagne d’attaques se poursuit en 2020, ont-ils déclaré. Les victimes de ces campagnes sont les propriétaires de comptes de petites entreprises, selon des chercheurs.

«Certaines observations sur ces campagnes indiquent que les cybercriminels utilisant CamuBot sélectionnent les victimes potentielles et restent aussi précis que possible. Cela permet de maintenir la discrétion de l’attaque et d’éviter d’attirer l’attention des forces de l’ordre, », ont déclaré les chercheurs d’IBM X-Force, Chen Nahman et Limor Kessem, dans leur analyse.

Les attaques ciblées commencent d’une manière similaire à une campagne d’août 2018, où CamuBot avait été repéré pour la première fois. Les individus mal intentionnés commencent par mener des recherches approfondies sur les organisations, notamment en passant plusieurs appels téléphoniques pour cartographier la hiérarchie de l’entreprise.

camubot

Ensuite, en se faisant passer pour des employés de banque, les pirates informatiques «travaillent» les propriétaires de compte en établissant une confiance via des conversations téléphoniques et par e-mail, avant de finalement leur demander d’effectuer diverses actions sur leur compte.

Après cette période d’ingénierie social, les hackers finissent par appeler les victimes et leur demander de naviguer sur une page Web infectée qui héberge le cheval de Troie CamuBot. Les victimes sont invitées à entrer leurs identifiants de connexion bancaire sur la fausse page et à télécharger une application de sécurité (qui est en réalité CamuBot). Après que les victimes aient téléchargé et exécuté CamuBot sans le savoir sur leurs appareils, le pirate obtient des capacités d’accès à distance sur leurs ordinateurs.

Nouvelle tactique de CamuBot

Lors de la campagne précédente de 2018, les hackers utilisaient à ce stade les informations d’identification des victimes pour se connecter à leurs comptes et effectuer des transactions frauduleuses, les campagnes récentes poussent l’attaque un peu plus loin.

“Ce qui nous a frappé dans cette activité plus récente … est le fait que les attaquants ne prennent pas toujours le contrôle du compte en se connectant à l’ordinateur infecté comme ils le faisaient auparavant”, ont déclaré les chercheurs. “Nous avons plutôt constaté que les comptes en banque d’entreprise sont accédés via l’application mobile de la banque.”

camubot

Plus précisément, après que CamuBot ait infecté les ordinateurs de la victime, les victimes reçoivent un ordre venant des pirates par téléphone leur demandant d’autoriser l’accès à une application mobile en donnant leurs numéros de téléphone.

Alors que les pirates informatiques ont déjà les informations d’identification bancaires en ligne, «le pirate dans ce cas veut que la victime autorise l’activité de l’application sur l’appareil mobile», ont déclaré des chercheurs. «Les victimes sont invitées à autoriser cela via la version pour ordinateur de bureau du site Web.»

Avec cet accès désormais autorisé par la victime, les hackers peuvent alors se connecter à l’application mobile, en utilisant les informations d’identification dérobées aux victimes, et changer le numéro de téléphone portable et le remplacer par un numéro qu’ils contrôlent. Les chercheurs ont déclaré que le motif probable de cette approche était potentiellement d’avoir un meilleur contrôle sur les alertes ou les jetons d’authentification envoyés par la banque.

Alors que les pirates ont déjà accès aux postes de travail compromis des victimes, “le scénario le plus probable ici est que le hacker espère conserver son accès et être en mesure de surveiller le compte au fil du temps jusqu’à ce qu’il puisse planifier un transfert frauduleux important”, ont-ils déclaré. “En ayant le compte couplé à un numéro de téléphone, ils ont accès à l’authentification à deux facteurs (2FA), ou les appels de vérification de la banque finiront par atteindre le criminel et éventuellement leur permettront de terminer l’opération frauduleuse.”

Dans d’autres cas, les attaquants ont utilisé les numéros de téléphone réels de la victime et ont probablement effectué une technique de SIM Swapping (une forme de fraude qui permet aux escrocs de contourner la 2FA basée sur SMS et de pirater les services bancaires en ligne ou autres comptes de grande valeur) pour accéder au compte plus tard.

La montée de CamuBot

Les chercheurs ont déclaré que les tactiques de CamuBot sont conformes aux TTP(tactiques, techniques et procédures) utilisés par d’autres malware créés par des groupes de cybercriminels organisés tels que TrickBot, IcedID et Ursnif. Ils se concentrent chacun sur les services bancaires aux entreprises et associent l’ingénierie sociale à un malware et à la prise de contrôle d’appareils.

Ce cas est différent des autres souches de logiciels malveillants populaires au Brésil qui utilisent des tactiques plus traditionnelles, comme les chevaux de Troie utilisant des attaques par superposition à distance, pour faciliter la prise de contrôle des appareils et la fraude sur les comptes des consommateurs.

“Contrairement à la plupart des logiciels malveillants que nous rencontrons dans l’arène des menaces financières brésiliennes, CamuBot diffère en utilisant une base de code unique”, ont déclaré les chercheurs. «Il se démarque également par la méthode utilisée par ses opérateurs pour interagir avec les victimes potentielles et, au lieu de dissimuler le malware, il se présente comme une application de sécurité que les banques doivent obligatoirement installer.»

Les chercheurs ont averti que cette tendance se renforcerait en 2020, avec des attaques plus ciblées dans la région et probablement d’autres campagnes CamuBot repérées dans les mois à venir.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x