Un nouveau cheval de Troie s’attaque aux acteurs du secteur des Fintech

Spread the love
  • Yum

Un nouveau cheval de Troie s'attaque aux acteurs du secteur des Fintech

Une vaste campagne de cyberpiratage s’attaque actuellement à des sociétés du secteur des fintech. Selon la société de cybersécurité Cybereason, un nouveau Cheval de Troie cible actuellement des organisations financières dans le but de voler des adresses électroniques, des mots de passe et d’autres informations sensibles. Ce code malveillant, baptisé PyVil RAT, permet aux attaquants de voler secrètement des informations d’entreprise en utilisant l’enregistrement de frappe et la prise de captures d’écran.

Le cheval de Troie, dont la paternité est attribuée au groupe APT Evilnum, est écrit en langage Python et s’avère capable de collecter des informations sur le système infecté, y compris sur des versions de Windows en cours d’exécution, des produits antivirus installés et via une connexion éventuelle de périphériques USB. Les attaques précédentes d’Evilnum se sont reposées sur des attaques de harponnage via la diffusion d’archives Zip. Désormais, le groupe commence ses attaques par des courriels contenant un fichier LNK se faisant passer pour un PDF.

Ces courriels de phishing prétendent contenir des documents d’identification liés aux opérations bancaires, notamment des factures de services publics, des relevés de cartes de crédit et même des photos de permis de conduire. S’il est ouvert, le fichier démarre une séquence qui soumet in fine la machine compromise connectée aux serveurs de commandement et de contrôle d’Evilnum. Le groupe peut alors fournir des instructions et d’éventuelles fonctionnalités supplémentaires à PyVil tout en restant caché de la victime.

publicité

Une technique sophistiquée

Si ce nouveau cheval de Troie est capable de faire cela, c’est parce que son code malveillant est dissimulé derrière de nombreuses couches différentes, y compris à l’intérieur du code d’un logiciel légitime. « Cette tactique est à leur avantage de plusieurs façons, notamment en évitant la détection et en maintenant la persistance – l’abus de code légitime est plus courant chez les acteurs plus sophistiqués », explique Tom Fakterman, chercheur sur les menaces à Cybereason, interrogé par ZDNet.

Bien que l’on ne sache pas encore exactement qui se cache derrière Evilnum, la nature hautement ciblée des attaques, combinée à la manière dont ils changent constamment de tactique, conduit les chercheurs à penser qu’il s’agit d’une campagne très professionnelle et bien dotée en ressources. Le groupe Evilnum est censé rester actif et ce n’est probablement qu’une question de temps avant qu’il ne change de nouveau ses outils et ses techniques pour cibler à nouveau les acteurs du secteur des fintech.

« Nous observons toujours des échantillons de logiciels malveillants apparaître et nous constatons que l’infrastructure des acteurs de la menace est toujours active. La meilleure façon de se protéger est d’éduquer, d’améliorer l’écosystème de sécurité et d’enseigner aux employés comment ne pas se laisser duper en ouvrant des e-mails de phishing et de ne pas télécharger d’informations provenant de sites web douteux », indique Cybereason.

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *