Une nouvelle campagne d'hameçonnage cible les terminaux de point de vente et les banques

Une nouvelle campagne d'hameçonnage installe un cheval de Troie, baptisé FlawedAmmyy, pour prendre le contrôle de machines. Ce dernier permet d'installer une charge utile sur le système et cible les milieux bancaires et les terminaux de points de vente (TPV). Il a été constaté que plus de la moitié des adresses mail ciblées appartiennent à des banques situées en Malaisie, Indonésie, Kenya, Roumanie, Pologne et l'Autriche.

Pour infecter un système, l'attaquant envoie un courriel ayant un fichier PDF en pièce-jointe. Ce dernier contient du code JavaSript et un fichier “downl.SettingContent-ms” (fichier XML contenant les paramètres de certaines fonctions Windows). L'ouverture du fichier PDF, déclenche l'exécution du code JavaScript qui ouvre le fichier “downl.SettingContent-ms”. La commande PowerShell à l'intérieur de la balise <DeepLink> est ainsi exécutée et télécharge FlawedAmmyy depuis l'adresse "hxxp://169[.]239[.]129[.]117/cal".

Cette campagne d'hameçonnage serait relié à Necurs (un réseau de machines zombies), car le cheval de Troie utilisé pour infecter une machine est identique.

En juillet 2018, un nouveau module Necurs a été déployé. Il vérifie si le nom de domaine cible contient l'un des mots clés bank, banc, aloha, aldelo, et postilion. Aloha est un TPV pour les restaurants, Aldelo est une application TPV pour iPad, et Postilion est une solution de paiement et de transaction à travers tous canaux (guichets automatiques, TPV sites d'e-commerce, …). Ensuite, si le nom de domaine contient un des mots clés, ce module télécharge la charge utile finale depuis l'adresse " hxxp://169[.]239[.]129[.]117/Yjdfel765Hs".

Pour se protéger contre ce type d'attaques, il est conseillé de mettre en place une solution de protection des postes de travail et de renforcer la sécurité de la messagerie électronique (analyse antivirale des courriels, détection de pourriels et de courriels d'hameçonnage, …).

Il est également conseillé, si cela est possible, de désactiver l'exécution du Javascript lors de la lecture d'un PDF. Cette page liste comment désactiver l'exécution du Javascript dans les principaux lecteurs PDF.