Les cybercriminels redoublent souvent de virulence pendant les événements sportifs, cherchant à profiter de l’augmentation de l’activité en ligne et de l’intérêt suscité par la compétition pour attirer les utilisateurs vers des pages de phishing et des spams malveillants. Les Jeux Olympiques de Rio n’ont pas fait exception à la règle, selon un rapport publié la semaine dernière par X-Force, l’équipe de sécurité d’IBM, qui signale deux chevaux de Troie bancaires dénommés Zeus Sphinx et Zeus Panda. Il s’agit de malwares jugés sophistiqués qui se situent « un cran au-dessus de ce que nous voyons habituellement au Brésil », note Limor Kessem, l’une des responsables de ces sujets au sein d’IBM Security. Ordinairement, les malwares circulent au Brésil sous la forme de scripts ou d’extensions de navigateur, alors que Zeus, connu depuis plusieurs années, est un logiciel modulaire plus complexe, pointe-t-elle. Les deux souches de malwares ciblent les utilisateurs brésiliens, attendent qu’ils accèdent à leurs comptes en ligne, puis interceptent les communications, modifient les sites web, volent les identifiants et redirigent les paiements. « Il est probable que les attaquants soient basés au Brésil ou qu’ils aient recours à des partenaires locaux », estime Limor Kessem.
Le malware communique avec les serveurs de contrôle centralisés pour télécharger des fichiers de configuration personnalisés, explique-t-elle. Dans les deux cas, les fichiers ont été adaptés pour attaquer un système de paiement et trois des plus gros établissements bancaires brésiliens, ainsi qu’une banque en Colombie. Pour définir une nouvelle cible bancaire, les attaquants recourent à des méthodes d’ingénierie sociale (social engineering) qui imitent l’apparence d’un site bancaire et nécessitent de comprendre les méthodes d’authentification des banques. Ces attaques « sont capables d’intervenir sur ce que voient les internautes lorsqu’ils visitent la page », indique Limor Kessem en expliquant qu’elles peuvent par exemple, en plus de l’identifiant et du mot de passe, demander à l’utilisateur un numéro de sécurité sociale ou le nom de jeune fille de leur mère. Et c’est là qu’il est utile pour les attaquants d’avoir des relais locaux.
Pas de fautes d'orthographe, un fonctionnement bancaire mieux connu
Auparavant, on repérait facilement les grossières fautes d’orthographe dans les manifestations de cyber-criminels cherchant à s’introduire dans des pays dont ils ne parlaient pas la langue. Maintenant qu’ils collaborent avec des personnes sur place, il leur est plus facile de s’exprimer de façon appropriée. Et ils ont une meilleure connaissance du fonctionnement des banques et augmentent leurs chances de frauder les comptes. Il devient donc facile d’ajouter une nouvelle cible, souligne le rapport d’X-Force, il suffit de modifier le fichier de configuration. « C’est assez facile à faire et les criminels peuvent le faire à tout moment ».
Le code source est le même pour Panda et Sphinx. Tous deux sont basés sur le code source de Zeus qui a filtré en 2011 et qui est devenu une base très utilisée pour les malwares commerciaux vendus sur les marchés souterrains, rappelle Limor Kessem en précisant que Zeus Panda est très localisé. En dehors des banques locales, Panda cible un supermarché alimentaire, une administration de police et un bureau d’exchange de bitcoins, ce dernier étant probablement utilisés par les criminels pour blanchir leurs gains frauduleux.
Zeus Sphinx cible aussi les banques brésiliennes, mais il s’en prend par ailleurs à la plateforme de paiement Boleto Bancário, très utilisée pour envoyer de l’argent. Il est apparu il y un an, en attaquant en premier lieu des banques au Royaume-Uni et en Australie. Un autre rapport publié par RSA estime que le malware qui a ciblé Boleto a compromis près de 4 milliards de transactions au cours des deux années précédentes.