Pour gérer vos consentements :
Categories: CloudManagement

Sécurité IT : les cyber-criminels lorgnent sur les marchés financiers

Plus d’une centaine de grandes entreprises, dont une bonne partie cotée sur les marchés publics, figurent à son tableau de chasse : le collectif de pirates FIN4 est sous le feux des projecteurs après la découverte de ses activités par FireEye.

La firme américaine spécialisée dans la sécurité informatique est remontée jusqu’à la mi-2013 pour trouver trace des premiers méfaits de ce groupe de cyber-criminels qui s’intéresse exclusivement aux sociétés engagées dans des opérations stratégiques de rapprochement, d’acquisition ou de scission. Son objectif : récupérer des données privées relatives à des transactions qui n’ont pas encore été officialisées… et ainsi anticiper les tendances de la Bourse avec, à la clé, d’importants gains financiers.

Les entreprises visées exercent essentiellement dans le secteur de la santé ou l’industrie pharmaceutique (à 68 %). Mais FIN4 vise aussi des intermédiaires – en l’occurrence des sociétés de conseil juridique, financier ou en investissement – et quelques organisations publiques (12 %) qui évoluent pour la plupart sur le NYSE ou le NASDAQ.

Ses attaques ne ciblent que certains profils parmi lesquels les P-DG, les DAF, les consultants et les équipes de recherche. La technique employée n’est pas nouvelle : elle repose sur l’envoi, par e-mail, d’un document Word piégé qui contient une macro développée en Visual Basic for Applications (VBA). Celle-ci s’exécute et demande à l’utilisateur de renseigner ses identifiants de connexion au réseau d’entreprise, car sa session « a expiré ». Sauf que les informations sont transmises au serveur des pirates.

La macro en question contient un module nommé « Module1 » et destiner à gérer la connexion avec le serveur distant, par des requêtes POST. Elle abrite aussi un formulaire baptisé « UserForm1 » et/ou « UserLoginForm ». Lors de ses investigations (voir la synthèse au format PDF), FireEye a repéré une autre méthode exploitée dans le cas où l’entreprise ciblée aurait désactivé les macros : l’utilisateur est redirigé vers Outlook Web App, là aussi pour s’identifier.

Les travaux d’ingénierie sociale menés en amont permettent d’atteindre un haut niveau de personnalisation pour les e-mails frauduleux. Un soin particulier est apporté à la rédaction, vraisemblablement effectuée par des anglophones familiers de la terminologie financière.

En subtilisant ainsi les identifiants de connexion, FIN4 peut accéder aux communications privées de ses victimes… et les détourner en lançant des conversations de groupe ou en récupérant des documents pour y insérer leur macro. Le travail est « facilité » par la mise en oeuvre d’un système de codes (il en existe plusieurs dizaines) permettant de distinguer précisément à quel corps de métier se rattachent les informations personnelles récupérées.

Pour minimiser les risques d’être repérés, les pirates créent automatiquement, sur chaque compte Outlook piraté, un filtre qui supprime tous les mails contenant des mots-clés susceptible d’éveiller l’attention de l’utilisateur : « hacked », « phish », « malware », etc.

—— A voir aussi ——
Quiz ITespresso.fr : maîtrisez-vous vos informations personnelles sur Internet ?

Crédit photo : Ensuper – Shutterstock.com

Recent Posts

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

1 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago

PC Copilot+ : Microsoft passe Recall en opt-in

Microsoft modifie la fonctionnalité de Recall sur les PC Copilot+ qui passe en opt-in. Reste…

4 mois ago