Des criminels ont mené des attaques par e-mail complexes et ciblées contre des employés de plus de 100 fournisseurs de services de messagerie (ESP) au cours des derniers mois dans le but de détourner les ordinateurs d’entreprises qui vendent directement aux clients de certaines des plus grandes entreprises du monde, avertissent les experts anti-spam.
Les attaques sont un exemple classique de la façon dont les voleurs organisés peuvent abuser des relations de confiance entre les entreprises pour accéder à des ressources importantes qui sont ensuite recyclées lors d’attaques futures. Selon plusieurs sources, les soi-disant attaques de « spear phishing » dans cette campagne de fraude sont arrivées sous la forme d’e-mails chargés de virus adressés aux employés ESP par leur nom, et de nombreux cas incluaient le nom de l’ESP dans le corps du message.
Les missives empoisonnées utilisaient diverses ruses, mais incluaient généralement une invitation à afficher des images sur une URL de site Web incluse dans le message, comme un lien vers des photos de mariage ou une carte de vœux en ligne. Les destinataires qui ont cliqué sur les liens ont été redirigés vers des sites qui ont tenté d’installer silencieusement des logiciels conçus pour voler des mots de passe et donner aux attaquants le contrôle à distance des systèmes infectés.
Neil Schwartzmanndirecteur principal de la stratégie de sécurité chez le fournisseur de sécurité des e-mails Chemin de retour Inca déclaré que les attaques de harponnage visaient des sociétés de marketing par e-mail qui gèrent des campagnes d’inscription pour certaines des plus grandes marques d’entreprise existantes.
« Il s’agit d’une attaque organisée, délibérée et destructrice visant clairement à accéder à des systèmes de déploiement de messagerie de qualité industrielle », a déclaré Schwartzman. « De plus, les conséquences potentielles si les listes de diffusion des clients ESP étaient compromises à cette période de l’année sont inimaginables. »
Mise à jour : 25 novembre, 12 h 33 HE : Return Path dit maintenant qu’il a également été compromis et que ses clients signalent avoir reçu des attaques de harponnage au cours des dernières 24 heures. Lisez la suite du saut pour en savoir plus sur cette mise à jour.
Message d’origine :
Chris Nelson, un responsable de la sécurité d’un ESP qui a été compromis par ces attaques, s’est entretenu avec BreachTrace.com à condition que son employeur ne soit pas nommé. Nelson a déclaré avoir retracé l’attaque utilisée pour infiltrer les serveurs de son entreprise jusqu’à des adresses Internet aux Pays-Bas, où il a trouvé des preuves qu’au moins une douzaine d’autres ESP avaient été compromis de la même manière. Les attaques, a-t-il dit, semblent viser à prendre le contrôle des comptes clients et des listes d’adresses e-mail qui pourraient être utilisées dans de futures campagnes de spam et d’escroquerie.
Toutes les preuves suggèrent que ces attaques durent depuis plusieurs mois, a déclaré Nelson.
« En avril de cette année, nous avons commencé à voir des résultats de livraison très éloignés pour les comptes que nous avions », a-t-il déclaré. « Par exemple, une petite église à [the South] qui avaient peut-être quelques centaines de membres sur leur liste, envoyant tout d’un coup des e-mails à 500 000 à 1 000 000 de personnes.
Nelson a déclaré qu’il pensait que les attaquants avaient exploité une vulnérabilité dans l’une des applications logicielles internes de son employeur qui permettait le « changement de compte » et l’accès à la base de données des clients de son employeur.
« Il nous a fallu jusqu’en septembre pour avoir une visibilité complète sur ce que [and] comment cela se faisait », a-t-il déclaré. « Ce que nous avons assemblé était un compromis grâce à notre téléchargement d’images [feature]… un fichier .jpg contenant du code malveillant.
Selon Nelson, les missives de spam envoyées aux clients des clients de son entreprise étaient identiques à la campagne de spam détaillée cette semaine dans une rédaction par Lenny Zeltserun gestionnaire d’incidents avec le Centre de tempête Internet SANS. Ces messages invitent les destinataires à télécharger ou à mettre à jour « Adobe Acrobat and Reader 2010 » à partir de divers sites Web (voir l’image ci-dessus). Zeltser a déclaré qu’Adobe avait confirmé que les messages faisaient partie d’une campagne qui avait débuté en septembre.
« Les sites annoncés dans le cadre de la campagne de spam tentent de convaincre la personne de fournir son numéro de crédit pour obtenir un logiciel de lecture/écriture de PDF en utilisant un formulaire hébergé sur secureonline.ru », a écrit Zeltser. « Nous n’avons pas vérifié si le logiciel est réellement malveillant, mais nous doutons de ses intentions. »
Selon Schwartzman de Return Path, le logiciel introduit par les images malveillantes dans les e-mails de harponnage a installé un programme commercial de vol de mot de passe appelé iStealer (indiqué à gauche). J’ai récupéré une copie du programme à partir de l’un des liens malveillants inclus dans un hameçonnage envoyé à l’une des victimes, et j’ai scanné le fichier à VirusTotal, qui parcourt les fichiers soumis à l’aide de plus de trois douzaines de produits antivirus. Résultat : seuls deux des produits antivirus l’ont détecté comme malveillant ou même suspect.
Schwartzman a déclaré que le cheval de Troie iStealer était accompagné d’un autre outil disponible dans le commerce – CyberGate (photo ci-dessous), un outil d’administration à distance pointer-cliquer qui permet aux criminels de contrôler à distance un ordinateur infecté.
Mettre à jour: Dans un article de blog publié aujourd’hui, Return Path a déclaré avoir reçu des données de ses partenaires ESP et de certains clients « qui nous font soupçonner que certaines de nos données au sein de Return Path peuvent avoir été compromises dans le cadre de ce même stratagème de phishing. Notre préoccupation à ce stade est qu’une liste assez restreinte d’adresses e-mail de nos clients (celles utilisées pour recevoir des alertes système de notre part) ait pu être compromise. Même s’il s’agit d’une petite liste, il s’agit toujours d’un problème sérieux car de nombreuses adresses de la liste elles-mêmes ont un accès en aval à des listes de diffusion plus importantes. Pour rappel, Return Path n’entrepose pas de grandes listes de diffusion de consommateurs ni ne déploie directement de campagnes d’e-mails client.
Fait intéressant, Schwartzman a déclaré que la campagne de spear phishing qui ciblait les clients de Return Path avait usurpé Salutations américaines et Yahoo marques dans le lien, mais le lien lui-même redirigeait les utilisateurs vers un site hébergeant un logiciel malveillant de carte électronique (le Nettoyez MX l’écriture sur ce domaine est ici).