Dyre Wolf : la nouvelle cyber-arnaque bancaire

Via TheRegister :

IBM a publié un rapport (PDF) sur un groupe de pirates qui utilisent avec brio le malware Dyre, le nouveau trojan-bancaire à la mode.

Les attaquants font tout pour que la victime n’y voit que du feu et d’après IBM certaines des victimes (de grosses entreprises) ont pu voir jusqu’à 1 million de dollars disparaître de leurs comptes pour aller se réchauffer vers des comptes offshore…

La méthodologie utilisée se base sur différentes étapes :

D’abord un mail de spear-phishing est envoyé. La technique est ici classique et compte sur le manque de connaissance informatique de la victime pour qu’elle exécute un exécutable en pièce jointe.
Une fois connecté le malware se connecte à un C&C. Point original les pirates semblent utiliser I2P pour cacher leur identité. Ce malware va aussi surveiller si la victime ne se connecte pas à un site bancaire dans l’objectif de récupérer des informations de base (nom de la banque, identité du client, etc)
Troisième étape, quand suffisamment d’infos sur la victime ont été récupérés, un proxy local intercepte et modifie la page de la banque pour indiquer qu’un problème a été détecté sur le compte et qu’il faut appeler un numéro (appartenant aux pirates).

Le criminel au bout de la ligne téléphonique profite alors des informations dont il dispose pour faire une annonce réaliste quand il décroche (Banque X, bonjour Monsieur Y, etc) et met ainsi la victime en confiance pour lui demander ses informations bancaires.

Dernière étape : le compte de la victime est vidée avec en cadeau un petit DDoS sur le réseau de la victime pour empêcher qu’il réagisse trop vite à l’arnaque.