Un bon nombre de banques ont été pris pour cible dans les attaques soi-disant trou d'eau. Les attaques de Janvier contre les institutions polonaises où un site piégé de l'Autorité polonaise de surveillance financière a été utilisé étaient juste le début d'une série d'événements malheureux. La phase finale des opérations malveillantes était la livraison de Downloader.Ratankba.
Qu'est-ce qu'une attaque Abreuvoir?
Fondamentalement, une attaque de trou d'eau est un exploit de sécurité qui cherche à compromettre un groupe précis de consommateurs par des sites frappants que le groupe est en visite régulièrement. L'objectif final est tout à fait évident - infecter les ordinateurs des et l'obtention d'un accès à distance aux réseaux aux victimes des cibles du lieu de travail
La stratégie d'attaque informatique a été identifiée dans 2012 par RSA Security. La stratégie peut être très efficace - nous visitons nos pages préférées sur une base régulière, base quotidienne. Même si nous pouvons être très intelligent et rire les gens qui tombent pour les régimes de phishing, nous pourrions encore devenir les proies de logiciels malveillants simplement sauter à une page bien-aimée.
Maintenant, Revenons aux récentes attaques de trous d'arrosage qui ont été compromettent divers organismes financiers. Plusieurs banques ont partagé des détails sur les incidents, et des informations sur plus d'incidents est à venir à la lumière. Des chercheurs de Symantec et BAE Systems ont conclu que les institutions les plus touchées sont en Pologne, le US, Royaume-Uni, Mexique et le Chili.
Des chercheurs de BAE Systems ont pu identifier plus de trous d'arrosage, comme les sites de la Commission nationale des banques et Stock du Mexique et d'une banque d'Etat en Uruguay. Les sites Internet des institutions ont été piégés et contenaient du code qui a déclenché le téléchargement de fichiers JavaScript malveillants de domaines compromis. Les domaines ont organisé un kit exploit qui utilise Silverlight et Flash exploits. La dernière étape de l'opération était, sans surprise, la distribution de logiciels malveillants.
Lors de l'examen du code sur le kit site Web une liste des exploit 255 chaînes d'adresses IP a été trouvé. L'IP ne contenait que le premier 3 octets, et aurait été utilisé pour filtrer le trafic de telle sorte que seuls les IP sur ce sous-réseau seraient livrés l'exploit et la charge utile. Les adresses IP correspondent à un mélange d'institutions financières publiques et privées réparties à travers le monde,"BAE Systems a expliqué.
La distribution de logiciels malveillants détectés auparavant: Downloader.Ratankba
Les chercheurs ont rapporté que le malware utilisé dans ces attaques était Downloader.Ratankba. Intéressant, le téléchargeur n'a pas été précédemment identifié, et Symantec utilise des signatures de détection génériques.
Ratankba a été observé en contact avec l'oeil-montre[.]en commande et de contrôle (C&C) communications. Ratankba a ensuite observé le téléchargement d'un HackTool. Cette HackTool présente des caractéristiques distinctives partagées avec des logiciels malveillants précédemment associés à Lazare.
Lazare est un groupe de piratage qui fonctionne depuis 2009. Il a ciblé les établissements situés principalement aux États-Unis et la Corée du Sud.
Pour rester protégé contre les attaques de logiciels malveillants de tous types, les utilisateurs sont fortement invités à garder leurs systèmes protégés en tout temps.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter