L’industrie de la cyber-sécurité a souvent tendance à porter la majeure partie de son attention sur les techniques d’attaque et les menaces les plus récentes – à tel point que l’on court ainsi le risque d’oublier à quel point la masse de maliciels existants qui menacent les utilisateurs Internet est immense. L’une de ces menaces n’est autre que le célèbre cheval de Troie bancaire DYRE. Mauvaise nouvelle pour le marché: ce maliciel a été particulièrement prolifique en ce début d’année.

Les chercheurs de Trend Micro ont relevé une impressionnante croissance de 125% dans le nombre d’infections planétaires – qui est passé de 4.000 au 4ème trimestre 2014 à 9.000 au cours des trois premiers mois de cette année. Il semble bien que les cyber-criminels qui en sont à l’origine aient redoublé d’activités, trafiquant la nature de la menace de telle sorte à éluder les filtres de sécurité et à améliorer ainsi leurs chances de succès.

“A mesure que les utilisateurs recourent de plus en plus à des transactions bancaires via Internet, les cyber-criminels se focalisent eux aussi sur des cibles faciles pouvant leur rapporter gros”, déclare Frédéric Dohen, Territory Manager Luxembourg chez Trend Micro. “La qualité des applications et des contrôles de sécurité que l’on trouve sur les plates-formes mobiles est encore en phase de maturation et les cyber-criminels y voient des cibles faciles.”

DYRE en bref

DYRE, ou DYREZA, a fait sa première apparition aux alentours de septembre 2014 lorsque des experts ont prévenu de l’apparition d’un cheval de Troie bancaire de type Zeus destiné à court-circuiter SSL – le protocole habituellement utilisé pour sécuriser les transactions sur les sites bancaires Internet. Ce maliciel, qui utilise généralement comme vecteur le téléchargeur UPATRE et sa camoufle habituellement dans un fichier joint à un pourriel, a été conçu de telle sorte à perpétrer quelques-unes voire la totalité des actions suivantes: des attaques de type intermédiaire (“man-in-the-middle”) via des injections de navigateur; la prise de captures d’écran de navigateur; le vol de certificats de sécurité personnels et d’identifiants d’opérations bancaires en-ligne; le pistage de la localisation de l’utilisateur via STUN.

Les cyber-criminels ne cessent d’adapter et de faire évoluer leurs menaces afin de circonvenir les défenses de sécurité. DYRE n’échappe pas à cette règle.

En janvier, Trend Micro a par exemple repéré une nouvelle variante qui prend le contrôle de Microsoft Outlook sur l’ordinateur d’une victime afin de déclencher des courriels comportant le téléchargeur UPATRE, courriels qui sont envoyés à des destinataires. On a également remarqué que la bande de cybercriminels avait commencé à utiliser le réseau d’anonymisation I2P afin de cacher la localisation de serveurs C&C. Une autre variante a été identifiée, qui recourt à des techniques évoluées d’anti-“sandboxing” (bac à sable) pour contourner des filtres de nouvelle génération.

Quoi de neuf?

L’actuelle campagne de pourriels DYRE observée par Trend Micro a essentiellement pris pour cible les zones APAC/Asie Pacifique (43%) et EMEA (34%), même si, au premier trimestre, la plupart des infections effectives ont visé la zone EMEA (39%) et l’Amérique du Nord (38%).

Le fait que la plupart des cas d’infection soient signalés dans la zone EMEA et en Amérique du Nord s’explique probablement par la langue véhiculaire – l’anglais – utilisée pour l’envoi de la majorité des courriels. Ils exploitent habituellement des techniques d’ingénierie sociale de telle sorte à alarmer le destinataire et à l’amener à ouvrir la pièce jointe malveillante qui contient UPATRE. Toutefois, dans le cas spécifique de cette version, les auteurs du maliciel ont transformé le téléchargeur non seulement afin de larguer DYRE sur le systèmes de la victime mais aussi afin de désarmer les pare-feu et d’autres mécanismes de sécurité et, dès lors, de désactiver l’anti-maliciel par défaut de Windows.

On a ici affaire à un bel exemple du jeu sans fin du chat et de la souris, qui se joue entre les “gentils” – les “white hats” – et les cyber-criminels. C’est là également une excellente raison de redoubler de vigilance face à des courriels non sollicités atterrissant dans votre boîte de messagerie.

Bloquer la menace

Les utilisateurs de solutions bancaires en-ligne peuvent prendre diverses mesures afin de minimiser le risque d’infection. Pour commencer, vous devriez:

• vous familiariser avec les règles qu’applique votre banque en matière de signalement par courriel; passez systématiquement un appel téléphonique pour vérifier si le courriel est authentique avant de l’ouvrir
• mettre à la poubelle tout message non sollicité contenant des pièces jointes ou des courriels d’apparence suspecte
• installer un anti-maliciel complet ; la technologie Custom Defense de Trend Micro vous protégera contre UPATRE et DYRE
• modifier immédiatement vos mots de passe bancaires, en utilisant un système différent, si vous avez le sentiment que DYRE a été téléchargé ; contactez votre banque afin de l’avertir de toute transaction suspecte.