{"id":11707,"date":"2019-05-09T12:29:33","date_gmt":"2019-05-09T12:29:33","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11707"},"modified":"2019-11-22T08:50:49","modified_gmt":"2019-11-22T08:50:49","slug":"fin7-still-exists","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/fin7-still-exists\/11707\/","title":{"rendered":"Les activit\u00e9s malveillantes continuent malgr\u00e9 la d\u00e9tention de FIN7"},"content":{"rendered":"

L\u2019an dernier, Europol et le minist\u00e8re am\u00e9ricain de la Justice ont interpell\u00e9 plusieurs cybercriminels suspect\u00e9s d\u2019\u00eatre \u00e0 la t\u00eate des groupes FIN7 et Carbanak. Les m\u00e9dias ont annonc\u00e9 la chute de ces gangs informatiques, mais nos experts d\u00e9tectent encore des signes d\u2019activit\u00e9. De plus, le nombre de groupes interconnect\u00e9s qui utilisent des outils et infrastructure similaires ne cesse d\u2019augmenter. Voici une liste de leurs principaux instruments et astuces, ainsi que quelques conseils pour que votre entreprise ne soit pas menac\u00e9e.<\/p>\n

FIN7<\/h2>\n

FIN7 s\u2019est sp\u00e9cialis\u00e9 dans les attaques d\u2019entreprises afin d\u2019avoir acc\u00e8s \u00e0 leurs donn\u00e9es financi\u00e8res ou \u00e0 leur infrastructure de TPV. Le groupe travaille \u00e0 partir de campagnes d\u2019harponnage (spear-phishing<\/em>) et utilise des m\u00e9thodes d\u2019ing\u00e9nierie sociale sophistiqu\u00e9es. Par exemple, ils vont \u00e9changer des dizaines de messages parfaitement normaux avec la victime, pour qu\u2019elle baisse la garde, puis lui envoyer des documents malveillants<\/p>\n

Dans la plupart des cas, les attaques se servent de documents malveillants avec des macros pour installer le malware sur l\u2019ordinateur de la victime et planifier des t\u00e2ches pour que le malware soit persistant. Il re\u00e7oit ensuite des modules et les ex\u00e9cute dans la m\u00e9moire vive. Nous avons surtout vu des modules qui permettent de collecter des informations, t\u00e9l\u00e9charger un autre malware, faire des captures d\u2019\u00e9cran, et conserver un autre exemple du m\u00eame malware dans le registre, au cas o\u00f9 le premier serait supprim\u00e9. Les cybercriminels peuvent \u00e9videmment cr\u00e9er des modules suppl\u00e9mentaires \u00e0 n\u2019importe quel moment.<\/p>\n

Groupe CobaltGoblin\/Carbanak\/EmpireMonkey<\/h2>\n

D\u2019autres cybercriminels utilisent des outils et techniques similaires, et ont seulement des cibles diff\u00e9rentes\u00a0: les banques et les d\u00e9veloppeurs de logiciel bancaire et de traitement d\u2019argent. La principale strat\u00e9gie du groupe Carbanak (ou CobaltGoblin, ou EmpireMonkey) consiste \u00e0 s\u2019installer dans les r\u00e9seaux des victimes, et \u00e0 trouver des points de terminaison int\u00e9ressants avec des informations que les cybercriminels puissent mon\u00e9tiser.<\/p>\n

Botnet AveMaria<\/h2>\n

AveMaria est un nouveau botnet utilis\u00e9 pour voler des informations. Lorsqu\u2019une machine est infect\u00e9e, le botnet commence \u00e0 recueillir tous les identifiants possibles de plusieurs logiciels\u00a0: navigateurs, e-mails des clients, services de messagerie, et bien d\u2019autres. Il agit \u00e9galement comme enregistreur de frappe (keylogger<\/em>).<\/p>\n

Les malfaiteurs utilisent l\u2019harponnage, l\u2019ing\u00e9nierie sociale, et des pi\u00e8ces jointes malveillantes pour transmettre la charge utile. Nos experts pensent qu\u2019ils ont un lien avec FIN7 \u00e0 cause de certaines ressemblances dans leurs m\u00e9thodes, et dans l\u2019infrastructure du serveur du centre de commandes (C&C). La distribution cible est un autre aspect qui montre qu\u2019il y a une certaine connexion\u00a0: 30 % des cibles \u00e9taient des petites et moyennes entreprises qui sont les fournisseurs ou fournisseurs de services de plus grandes entreprises\u00a0; 21 % \u00e9taient de plusieurs types d\u2019entreprises manufacturi\u00e8res.<\/p>\n

CopyPaste<\/h2>\n

Nos experts ont d\u00e9couvert un ensemble d\u2019activit\u00e9s baptis\u00e9 CopyPaste qui s\u2019en prend aux entit\u00e9s financi\u00e8res et aux entreprises qui se trouvent en Afrique. Les acteurs utilisent plusieurs m\u00e9thodes et outils similaires \u00e0 ceux de FIN7. Il est pourtant possible que ces cybercriminels n\u2019aient utilis\u00e9 que des publications open-source et n\u2019aient aucun lien r\u00e9el avec FIN7.<\/p>\n

Vous pouvez obtenir plus de d\u00e9tails techniques, et notamment les indicateurs de compromission, sur Securelist.com<\/a>.<\/p>\n

Comment se prot\u00e9ger<\/h2>\n