{"id":11454,"date":"2019-03-01T13:52:52","date_gmt":"2019-03-01T13:52:52","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11454"},"modified":"2019-11-22T08:54:02","modified_gmt":"2019-11-22T08:54:02","slug":"financial-trojans-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/financial-trojans-2019\/11454\/","title":{"rendered":"La cybercriminalit\u00e9 prend les comptables pour cible"},"content":{"rendered":"

Nos experts ont trouv\u00e9 que les cybercriminels se concentrent activement sur les PMEs, et sont particuli\u00e8rement int\u00e9ress\u00e9s par les comptables. Leur choix est assez logique, puisqu’ils cherchent \u00e0 acc\u00e9der directement aux finances. Le signe le plus r\u00e9cent de cette tendance est un pic d’activit\u00e9 des chevaux de Troie, en particulier Buhtrap et RTM. Ils fonctionnent diff\u00e9remment et utilisent diverses m\u00e9thodes pour se r\u00e9pandre, mais ils ont le m\u00eame objectif\u00a0: vider les comptes des entreprises.<\/p>\n

Ces deux menaces sont particuli\u00e8rement importantes pour les entreprises qui travaillent dans l’informatique, le service juridique, et la production \u00e0 petite \u00e9chelle. Contrairement aux entreprises qui travaillent dans le secteur financier, ces industries allouent un budget beaucoup plus petit \u00e0 la s\u00e9curit\u00e9, et c’est peut-\u00eatre pourquoi elles se retrouvent dans cette situation.<\/p>\n

RTM<\/h2>\n

RTM infecte g\u00e9n\u00e9ralement les victimes en utilisant un e-mail d’hame\u00e7onnage. Ces messages imitent les correspondances commerciales habituelles, et incluent certaines phrases comme « suite \u00e0 votre demande », « copies des documents du mois dernier », ou « demande de paiement ». En cliquant sur le lien, ou en ouvrant la pi\u00e8ce jointe, l’appareil de la victime est imm\u00e9diatement infect\u00e9, et les op\u00e9rateurs ont pleinement acc\u00e8s au syst\u00e8me infect\u00e9.<\/p>\n

En 2017, nos syst\u00e8mes ont enregistr\u00e9 que 2 376 utilisateurs ont \u00e9t\u00e9 attaqu\u00e9s par RTM. En 2018, nous avons observ\u00e9 130 000 cibles. Moins de deux mois se sont \u00e9coul\u00e9s en 2019, et nous avons d\u00e9j\u00e0 remarqu\u00e9 que ce cheval de Troie a \u00e9t\u00e9 d\u00e9tect\u00e9 par plus de 30 000 utilisateurs. Si cette tendance se poursuit, il va battre le record de l’an dernier. Tout ce que nous pouvons dire pour le moment c’est que RTM est un des chevaux de Troie financiers les plus actifs.<\/p>\n

La majorit\u00e9 des cibles de RTM se trouvent en Russie. Cependant, nos experts s’attendent \u00e0 ce qu’il traverse les fronti\u00e8res, et s’attaque \u00e9ventuellement aux utilisateurs d’autres pays.<\/p>\n

Buhtrap<\/h2>\n

Buhtrap a \u00e9t\u00e9 d\u00e9tect\u00e9 pour la premi\u00e8re fois en 2014. \u00c0 cette \u00e9poque, il s’agissait du nom d’un groupe de cybercriminels qui volait l’argent d’institutions financi\u00e8res russes, avec des pertes d’au moins 150 000 dollars lors de chaque attaque. Apr\u00e8s que les codes sources de leurs outils aient \u00e9t\u00e9 rendus publics en 2016, le nom Buhtrap a \u00e9t\u00e9 utilis\u00e9 pour d\u00e9signer ce cheval de Troie financier.<\/p>\n

Buhtrap a refait surface d\u00e9but 2017 lors de la campagne TwoBee, o\u00f9 il a surtout \u00e9t\u00e9 utilis\u00e9 pour transmettre des malwares. En mars dernier, il a fait la une (litt\u00e9ralement parlant), puisqu’il s’est r\u00e9pandu \u00e0 travers plusieurs grandes agences de presse compromises dont les principales pages contenaient des scripts, implant\u00e9s par les acteurs. Ces scripts ex\u00e9cutaient un exploit pour Internet Explorer dans les navigateurs du visiteur.<\/p>\n

Quelques mois plus tard, en juillet, les cybercriminels ont r\u00e9duit leur public, et se sont concentr\u00e9s sur un groupe d’utilisateur en particulier\u00a0: les comptables qui travaillent dans les petites et moyennes entreprises. C’est pour cette raison qu’ils ont cr\u00e9\u00e9 des sites Internet qui contiennent des informations pour les comptables.<\/p>\n

Nous nous souvenons de ce malware \u00e0 cause de ce nouveau pic qui a commenc\u00e9 fin 2018, et se poursuit \u00e0 ce jour. Au total, nos syst\u00e8mes de protection ont emp\u00each\u00e9 plus de 5 000 tentatives d’attaque de Buhtrap, et 250 d’entre elles ont eu lieu depuis le d\u00e9but de l’ann\u00e9e 2019.<\/p>\n

Tout comme la derni\u00e8re fois, Buhtrap se r\u00e9pand \u00e0 travers des exploits int\u00e9gr\u00e9s dans des agences de presse. Comme d’habitude, les utilisateurs d’Internet Explorer font partie du groupe en danger. Internet Explorer utilise un protocole chiffr\u00e9 pour t\u00e9l\u00e9charger des malwares \u00e0 partir de sites infect\u00e9s, ce qui complique l’analyse, et permet au malware d’\u00e9viter d’\u00eatre d\u00e9tect\u00e9 par certaines solutions de s\u00e9curit\u00e9. Oui, ce cheval de Troie utilise encore une vuln\u00e9rabilit\u00e9 d\u00e9tect\u00e9e en 2018.<\/p>\n

L’infection provoqu\u00e9e par Buhtrap et RTM offre un acc\u00e8s total aux postes de travail compromis. Cela permet aux cybercriminels de modifier les fichiers utilis\u00e9s pour l’\u00e9change de donn\u00e9es entre les syst\u00e8mes bancaires et de comptabilit\u00e9. Ces fichiers ont des noms par d\u00e9faut, et aucune mesure de protection suppl\u00e9mentaire, pour que les escrocs puissent les modifier \u00e0 leur gr\u00e9. Il est difficile d’estimer les d\u00e9g\u00e2ts mais, comme nous l’avons appris, les criminels d\u00e9tournent des actifs financiers de transaction qui ne d\u00e9passent pas 15 000 dollars chacun.<\/p>\n

Que faire ?<\/h2>\n

Pour prot\u00e9ger votre entreprise de telles menaces, nous vous recommandons de faire particuli\u00e8rement attention \u00e0 la protection de vos ordinateurs qui ont acc\u00e8s aux syst\u00e8mes financiers, notamment ceux de vos d\u00e9partements de comptabilit\u00e9 et de gestion. Bien s\u00fbr, tous les autres appareils doivent aussi \u00eatre prot\u00e9g\u00e9s. Voici quelques conseils pratiques :<\/p>\n