Fortinet : quatre "malwares" à surveiller en 2013

Comment les cybercriminels arrivent à soutirer de l'argent à leurs victimes ? L’équipe de recherches des menaces FortiGuard de Fortinet®, l’un des leaders de la sécurité réseau haute-performance présent à Sophia Antipolis a identifié quatre "malwares" à surveiller en 2013. L'équipe, qui vient de publier une recherche sur les principales menaces au cours de la période du 1er octobre au 31 décembre 2012, a identifié également une augmentation des kits de publicités Plankton sur Android pour les malwares sur mobiles et une hausse des scans de vulnérabilités des serveurs web par les hacktivistes.

Côté malwares, FortiGuard Labs a identifié au cours des trois derniers mois quatre "épidémies", montrant des niveaux d’activités élevés dans un délai de temps très court (allant d’une journée à une semaine). Elles révèlent quatre méthodes typiquement utilisées par les cybercriminels aujourd’hui pour monétiser leurs malwares.

1. Simda.B: Ce malware sophistiqué se fait passer pour une mise à jour Flash pour inciter les utilisateurs à accepter la totalité des droits d’installation. Une fois installé, le malware vole les mots de passes de l’utilisateur, ce qui permet aux cybercriminels d’infiltrer les comptes des réseaux sociaux et emails de la victime pour spammer ou propager des malwares, d’accéder aux comptes admin des sites Web pour héberger des sites malveillants et détourner de l’argent des comptes des systèmes de paiement en ligne.

2. FakeAlert.D: Ce faux antivirus signale aux utilisateurs via une fenêtre pop-up d’apparence convaincante que leur ordinateur a été infecté par des virus, et que, moyennant des frais, le faux antivirus supprimera les virus de l’ordinateur de la victime.

3. Ransom.BE78: C’est un rançongiciel (ransomware en anglais), un malware frustrant qui empêche les utilisateurs d’accéder à leurs données personnelles. Typiquement, soit l’infection empêche de démarrer la machine de l’utilisateur, soit elle crypte les données stockées de la machine de la victime, puis exige le paiement pour recevoir la clé qui lui permettra de les décrypter. La principale différence entre le ransomware et le faux antivirus est que le ransomware ne donne pas le choix à la victime concernant l’installation. Le ransomware s’auto-installe sur la machine de l’utilisateur puis exige le paiement pour être supprimé du système.

4. Zbot.ANQ: Ce cheval de Troie est le composant "du côté client " d’une version du fameux kit Zeus. Il intercepte les tentatives de connexion bancaire en ligne de l’utilisateur puis utilise l’ingénierie social pour inciter les utilisateurs à installer un composant mobile du malware sur leurs smartphones. Une fois que l’élément mobile est installé, les cybercriminels peuvent alors  intercepter les SMS de confirmation bancaire, et par la suite, transférer les fonds à un compte de passeur d’argent (money mule en anglais).

"Bien que les méthodes de monétisation des malwares ont évolué au fil des années, les cybercriminels semblent aujourd’hui être plus ouverts et frontaux dans leurs demandes d’argent − pour des rendements plus rapides,” déclare Guillaume Lovet, Responsable Sénior de l’Equipe Réponses aux Menaces FortiGuard Labs de Fortinet. “Dorénavant, il ne s’agit pas seulement de voler des mots de passe en toute discrétion, il s’agit aussi d’intimider les utilisateurs infectés en les faisant payer. Les mesures de protection élémentaires que les utilisateurs peuvent prendre cependant n’ont pas changé. Ils devraient avoir des solutions de sécurité installées sur leurs ordinateurs, mettre à jour constamment leurs logiciels avec les dernières versions et correctifs, effectuer des scans réguliers et faire preuve de bon sens."