[ad_1]

L’histoire d’hier sur le logiciel malveillant de point de vente utilisé dans l’attaque Target a provoqué un flot d’analyses et de rapports de la part des fournisseurs d’antivirus et de sécurité sur les logiciels malveillants connexes. Enfouis dans ces rapports se trouvent des détails intéressants qui parlent des acteurs potentiels impliqués et du moment et de la découverte de cette brèche.

écrasement des ciblesComme c’est le cas pour de nombreuses violations de données, les attaquants de cette attaque ont utilisé une boîte à outils virtuelle de logiciels criminels pour faire le travail. Comme je noté dans un Tweet peu de temps après avoir déposé mon histoire mercredi, au moins un de ces échantillons de logiciels malveillants comprend la chaîne de texte « Rescator ». Les lecteurs fidèles de ce blog trouveront probablement ce nom familier. C’est parce que Rescator a fait l’objet d’un article de blog que j’ai publié le 24 décembre 2013, intitulé « Qui vend des cartes de Target ? ».

Dans cet article, j’ai examiné un réseau de magasins clandestins de cybercriminalité qui vendaient presque exclusivement des comptes de cartes de crédit et de débit volés dans les magasins Target. J’ai montré comment ces magasins souterrains remontaient tous à un mécréant qui utilise le surnom de Rescator, et comment des indices sur l’identité réelle de Rescator suggéraient qu’il pourrait être un jeune homme particulier à Odessa, en Ukraine.

Cet après midi, McAfee publié un article de blog confirmant bon nombre des conclusions de mon histoire d’hier, y compris que deux téléchargeurs de logiciels malveillants utilisés dans le cadre de l’attaque Target contenaient la chaîne Rescator :

« z:ProjetsRéscateuruploaderDebugscheck.pdb ».

Un message privé sur cpro[dot]su entre Rescator et un membre intéressé par sa carterie.  Remarquez l'annonce pour le service d'inondation d'e-mails de Rescator en bas.

Un message privé sur cpro[dot]su entre Rescator et un membre intéressé par sa carterie. Remarquez l’annonce pour le service d’inondation d’e-mails de Rescator en bas.

Plus tôt ce matin, Séculert posté une analyse cela a confirmé mon rapport selon lequel les voleurs utilisaient un serveur central au sein de Target pour agréger les données aspirées par le logiciel malveillant de point de vente installé chez Target. Selon Seculert, l’attaque s’est déroulée en deux étapes.

« Tout d’abord, le logiciel malveillant qui a infecté les caisses de paiement (PoS) de Target a extrait les numéros de crédit et les données personnelles sensibles. Puis, après être resté non détecté pendant 6 jours, le logiciel malveillant a commencé à transmettre les données volées à un serveur FTP externe, en utilisant une autre machine infectée au sein du réseau cible.

Seculert poursuit : « Une analyse plus approfondie de l’attaque a révélé ce qui suit : le 2 décembre, le logiciel malveillant a commencé à transmettre des charges utiles de données volées à un serveur FTP de ce qui semble être un site Web piraté. Ces transmissions se sont produites plusieurs fois par jour sur une période de 2 semaines. Le 2 décembre également, les cybercriminels à l’origine de l’attaque ont utilisé un serveur privé virtuel (VPS) situé en Russie pour télécharger les données volées depuis le FTP. Ils ont continué à télécharger les données pendant 2 semaines pour un total de 11 Go d’informations clients sensibles volées. Bien qu’aucune de ces données ne reste sur le serveur FTP aujourd’hui, l’analyse des journaux d’accès accessibles au public indique que Target était le seul détaillant concerné. Jusqu’à présent, rien n’indique une relation avec l’attaque de Neiman Marcus.

Target a pris pas mal de critiques de critiques qui disent que la société a attendu trop longtemps pour divulguer la violation, et de nouveaux détails sur le moment où elle a peut-être su que quelque chose n’allait pas sont susceptibles d’attiser ces flammes. Comme je l’ai écrit hier, le logiciel malveillant de point de vente utilisé dans Target faisait référence à un domaine au sein de l’infrastructure de Target appelé « ttcopscli3acs ». Plusieurs sources, dont celle de Seculert Aviv Raff et Dimitri Alperovitch à FouleStrikea recherché d’autres fichiers avec cette chaîne unique dans le corpus de logiciels malveillants téléchargés sur Virustotal.com, un service qui utilise plus de 40 outils antivirus commerciaux pour produire des rapports sur les fichiers suspects soumis par les utilisateurs.

Cette recherche a révélé de nombreux fichiers connexes, y compris les téléchargeurs de logiciels malveillants susmentionnés avec le surnom de Rescator à l’intérieur, tous datés du 11 décembre 2013. Étant donné que ce logiciel malveillant est largement considéré comme ayant été spécialement conçu pour l’intrusion de Target, il va de soi que quelqu’un au sein de Target (ou un sous-traitant en sécurité travaillant à la demande de l’entreprise) a d’abord détecté le logiciel malveillant utilisé dans la violation à cette date, puis l’a soumis à Virustotal.

L’article d’hier cite des sources affirmant que le logiciel malveillant utilisé dans la violation de Target a été soigneusement conçu pour éviter d’être détecté par tous les outils antivirus du marché. Celles-ci deux Les résultats de l’analyse virustotal du 16 janvier (aujourd’hui) montrent que même à ce jour, aucun produit antivirus sur le marché ne détecte ces deux fichiers malveillants utilisés dans l’attaque Target. Certes, les outils antivirus utilisés sur virustotal.com n’incluent pas la détection comportementale (testant principalement les signatures de menaces connues). Je le signale principalement parce que personne d’autre ne l’a fait jusqu’à présent.

Incidemment, dans le langage des auteurs de logiciels malveillants, la pratique consistant à masquer les logiciels malveillants afin qu’ils ne soient plus détectés par les outils antivirus commerciaux est connue sous le nom de rendre le logiciel malveillant « entièrement indétectable », ou « FUD », comme l’appellent la plupart des habitants des forums de cybercriminalité. Il s’agit d’un acronyme quelque peu amusant pour décrire l’état d’une chose qui est souvent utilisée par les spécialistes du marketing de l’industrie de la sécurité pour générer une grande quantité de FUD dans le monde réel, alias Peur de l’incertitude et du doute.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *