Il a d'abord été identifié comme étant Anunak par Group-IB & Fox-IT en décembre 2014.
https://www.fox-it.com/en/files/2014/12 ... tions2.pdf
Brian Krebs avait d'ailleurs publié le sujet : Gang hacked ATMs from inside banks ( et l'année suivante : http://krebsonsecurity.com/wp-content/u ... PT_eng.pdf )
Début 2015, ce code malveillant aurait permis de voler plus d'1 milliard de dollars ( 1 000 000 000 ) grâce à des attaques sophistiquées, selon le Nouvel Obs qui détaille, d'après les données fournies par l'entreprise Kaspersky, la manière d'opérer des criminels :
Plusieurs éditeurs de sécurité ont annoncé ce retour, CSIS - Cabarnak returns mais aussi ESET - Carbanak gang is back and packing new guns. Fin août 2015, l'éditeur ESET a annoncé avoir détecté une tentative de piratage de l'hôtel d'un casino à travers des courriels malicieux au format RTF et SCR :
- Le moment venu, les hackers utilisent les systèmes des banques pour transférer directement de l'argent sur leurs comptes, le plus souvent situés en Chine et aux Etats-Unis. Dans le cas du piratage d'un système de paiement électronique, ils s'en servaient pour régler en ligne.
- Dans certains établissements, les cybercriminels ont réussi à pénétrer jusqu'au système de comptabilité des banques. Ils gonflaient alors les soldes de certains comptes de particuliers, avant d'empocher les fonds ajoutés. Par exemple, ils passaient les 1.000 dollars d'un compte à 10.000 dollars, avant de réaliser un virement de 9.000 dollars vers leur compte. Le titulaire du compte disposant toujours de ses 1.000 dollars d'origine ne soupçonnait ainsi pas ce qui se passait.
- Enfin, dans quelques cas, les pirates ont réussi à prendre le contrôle de distributeurs automatiques de billets et les ont programmés pour distribuer de l'argent à un moment prédéterminé. Un complice n'avait alors qu'à se présenter en face de la machine à l'instant défini pour récupérer l'argent.
Les deux malware utilisés étaient :
- Win32/Spy.Sekur – Un logiciel espion (spyware) qui récupère des identifiants / informations d'accès.
- Win32/Wemosis – Un code qui cible les POS sous Windows, plus particulièrement la mémoire des terminaux de paiements mais aussi les ordinateurs.
Ce certificat "Blik" est aussi utilisé par le logiciel espion Win32/Spy.Agent.ORM (aka Win32/Toshliph), probablement tenu par le même groupe de cybercriminels derrière Cabarnak. Ce spyware aurait été utilisé pour pirater des banques ukrainiennes comme : RBC.UA & UNICREDIT.UA & la Banque Central d'Arménie. ESET signale que ce malware a été utilisé pour tenter de pirater d'autres compagnies Ukrainiennes et Russes, notamment avec des courriels avec des pièces jointes au format .SCR et des documents Microsoft Office Word piégés. ( comme Dridex )
prikaz-451.doc
REMITTANCE ADVICE ON REJECTION.doc
PROOF OF REMITTANCE ADVICE .doc
HDHS739_230715_010711_A17C7148_INTERNAL.doc
Բանկերի և բանկային գործունեության մասին ՀՀ օրենք 27.07.2015.doc (Armenian: The Law on Banks and Banking 27.07.2015)
PAYMENT DETAILS.doc
АО «АЛЬФА-БАНК» ДОГОВОР.doc (Russian: Alpha-bank contract)
AML REPORTS_20082015_APPLICATION FORM-USD-MR VYDIAR.doc
Anti-Money Laudering & Suspicious cases.doc
ApplicationXformXUSDXduplicateXpayment.doc
AML USD & Suspicious cases.doc
Amendment inquiry ( reference TF1518869100.doc
Information 2.doc
Répartition des victimes de Win32/Wemosis à travers le monde.
Contrairement aux habituels malware qui ratissent large en créant des botnets, ici les victimes sont peu nombreuses et très ciblées. Le but n'est pas d'effectuer une campagne à l'aveugle mais d'avoir les bons accès, pour dégager les informations des bonnes personnes et accéder aux bonnes machines,... afin de faciliter au mieux le détournement de l'argent. Il s'agit de crimes financiers de très haut niveau.
Liens externes:
- https://www.trustwave.com/Resources/Spi ... ethodology