Pour gérer vos consentements :

Fraude bancaire : Kaspersky Lab met le doigt sur Luuuk

Kaspersky Lab est formel : au moins 500 000 euros ont été dérobés dans le cadre d’une campagne de fraude visant une grande banque européenne.

L’éditeur spécialisé dans la sécurité des systèmes d’information a détecté les premiers signes de cette attaque ciblée le 20 janvier 2014, après avoir repéré un serveur de commande et de contrôle (C&C) suspect. L’examen du tableau de bord (hébergé sur le domaine uwya-jqwph.eu, à l’adresse IP 109.169.23.134) a révélé l’existence d’un cheval de Troie destiné à siphonner les comptes des clients de la banque.

La consultation des logs stockés sur ce même serveur a permis de déterminer que la campagne était active au moins depuis le 13 janvier. Quant aux différents journaux de transaction, ils laissent suggérer que l’attaque – baptisée Luuuk en référence au dossier qui hébergeait le tableau de bord – a fait environ 190 victimes, essentiellement en Italie et en Turquie, avec des sommes allant de 1700 à 39 000 euros.

Deux jours après la découverte du serveur C&C, les cybercriminels avaient fait disparaître toute trace qui aurait permis de remonter jusqu’à eux. Kaspersky Lab, qui avait contacté entretemps les services de sécurité de la banque et les pouvoirs publics, estime que la campagne n’a pas été interrompue : ses auteurs ont simplement modifié leur infrastructure technique. Dans l’état actuel, il continuent sans doute à chercher de nouvelles victimes.

Malgré l’absence d’informations sur le serveur C&C, la façon dont les données (identifiants, mots de passe, IBAN) ont été interceptées laisse à penser qu’un malware de type Zeus (peut-être une variante comme Citadel, SpyEye ou IceIX) a été exploité sur le principe du MITB (« man-in-the-browser »). L’injection de code Web sophistiqué lors de sessions bancaires des victimes aurait alors permis d’exécuter automatiquement des transactions frauduleuses, en arrière-plan.

La technique de détournement de fonds est classique : des « mules » reçoivent une partie du butin sur des comptes spécialement créés à cet effet, puis retirent l’argent à des distributeurs. Fait rare néanmoins, il existait quatre groupes distincts chargés d’encaisser, à quelques exceptions près, des sommes bien précises : de 40 000 à 50 000 euros pour 13test, de 15 000 à 20 000 euros pour 14test, de 2500 à 3000 euros pour 14smallings et de 1750 à 2000 euros pour 16smallings. Comme si les pirates faisaient moins confiance à certains membres de leur réseau…

Que faire pour les banques ? S’assurer de mettre en place des plates-formes de protection contre les fraudes sur Internet, avec des composantes qui défendront les équipements des clients contre de nombreux types d’attaques. Mais aussi faire preuve de transparence vis-à-vis de leurs clients… et s’engager à enquêter en collaboration étroite avec les autorités en cas de pépin.

—— A voir aussi ——
Quiz ITespresso.fr : connaissez-vous bien les Anonymous ?

Crédit photo : Duc Dao – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago