Fraude bancaire : Kaspersky Lab met le doigt sur Luuuk

Kaspersky Lab est formel : au moins 500 000 euros ont été dérobés dans le cadre d’une campagne de fraude visant une grande banque européenne.

L’éditeur spécialisé dans la sécurité des systèmes d’information a détecté les premiers signes de cette attaque ciblée le 20 janvier 2014, après avoir repéré un serveur de commande et de contrôle (C&C) suspect. L’examen du tableau de bord (hébergé sur le domaine uwya-jqwph.eu, à l’adresse IP 109.169.23.134) a révélé l’existence d’un cheval de Troie destiné à siphonner les comptes des clients de la banque.

La consultation des logs stockés sur ce même serveur a permis de déterminer que la campagne était active au moins depuis le 13 janvier. Quant aux différents journaux de transaction, ils laissent suggérer que l’attaque – baptisée Luuuk en référence au dossier qui hébergeait le tableau de bord – a fait environ 190 victimes, essentiellement en Italie et en Turquie, avec des sommes allant de 1700 à 39 000 euros.

Deux jours après la découverte du serveur C&C, les cybercriminels avaient fait disparaître toute trace qui aurait permis de remonter jusqu’à eux. Kaspersky Lab, qui avait contacté entretemps les services de sécurité de la banque et les pouvoirs publics, estime que la campagne n’a pas été interrompue : ses auteurs ont simplement modifié leur infrastructure technique. Dans l’état actuel, il continuent sans doute à chercher de nouvelles victimes.

Malgré l’absence d’informations sur le serveur C&C, la façon dont les données (identifiants, mots de passe, IBAN) ont été interceptées laisse à penser qu’un malware de type Zeus (peut-être une variante comme Citadel, SpyEye ou IceIX) a été exploité sur le principe du MITB (« man-in-the-browser »). L’injection de code Web sophistiqué lors de sessions bancaires des victimes aurait alors permis d’exécuter automatiquement des transactions frauduleuses, en arrière-plan.

La technique de détournement de fonds est classique : des « mules » reçoivent une partie du butin sur des comptes spécialement créés à cet effet, puis retirent l’argent à des distributeurs. Fait rare néanmoins, il existait quatre groupes distincts chargés d’encaisser, à quelques exceptions près, des sommes bien précises : de 40 000 à 50 000 euros pour 13test, de 15 000 à 20 000 euros pour 14test, de 2500 à 3000 euros pour 14smallings et de 1750 à 2000 euros pour 16smallings. Comme si les pirates faisaient moins confiance à certains membres de leur réseau…

Que faire pour les banques ? S’assurer de mettre en place des plates-formes de protection contre les fraudes sur Internet, avec des composantes qui défendront les équipements des clients contre de nombreux types d’attaques. Mais aussi faire preuve de transparence vis-à-vis de leurs clients… et s’engager à enquêter en collaboration étroite avec les autorités en cas de pépin.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien les Anonymous ?

Crédit photo : Duc Dao – Shutterstock.com