{"id":719779,"date":"2023-05-05T15:03:23","date_gmt":"2023-05-05T17:03:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-ciblant-les-clients-italiens-des-services-bancaires-aux-entreprises-avec-la-nouvelle-boite-a-outils-web-inject-driban\/"},"modified":"2023-05-05T15:03:26","modified_gmt":"2023-05-05T17:03:26","slug":"des-pirates-ciblant-les-clients-italiens-des-services-bancaires-aux-entreprises-avec-la-nouvelle-boite-a-outils-web-inject-driban","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-ciblant-les-clients-italiens-des-services-bancaires-aux-entreprises-avec-la-nouvelle-boite-a-outils-web-inject-driban\/","title":{"rendered":"Des pirates ciblant les clients italiens des services bancaires aux entreprises avec la nouvelle bo\u00eete \u00e0 outils Web-Inject DrIBAN"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">05 mai 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les clients italiens des services bancaires aux entreprises sont la cible d&#8217;une campagne de fraude financi\u00e8re en cours qui s&#8217;appuie sur une nouvelle bo\u00eete \u00e0 outils d&#8217;injection Web appel\u00e9e <strong>drIBAN<\/strong> depuis au moins 2019.<\/p>\n<p>&#8220;L&#8217;objectif principal des op\u00e9rations de fraude drIBAN est d&#8217;infecter les postes de travail Windows dans les environnements d&#8217;entreprise en essayant de modifier les virements bancaires l\u00e9gitimes effectu\u00e9s par les victimes en changeant le b\u00e9n\u00e9ficiaire et en transf\u00e9rant de l&#8217;argent sur un compte bancaire ill\u00e9gitime&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Cleafy Federico Valentini et Alessandro Strino. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cleafy.com\/cleafy-labs\/uncovering-driban-fraud-operations-chapter1\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Les comptes bancaires, selon la soci\u00e9t\u00e9 italienne de cybers\u00e9curit\u00e9, sont soit contr\u00f4l\u00e9s par les acteurs de la menace eux-m\u00eames, soit par leurs affili\u00e9s, qui sont ensuite charg\u00e9s de blanchir les fonds vol\u00e9s.<\/p>\n<p>L&#8217;utilisation d&#8217;injections Web est une tactique \u00e9prouv\u00e9e qui permet aux logiciels malveillants d&#8217;injecter des scripts personnalis\u00e9s c\u00f4t\u00e9 client au moyen d&#8217;une attaque de l&#8217;homme dans le navigateur (MitB) et d&#8217;intercepter le trafic vers et depuis le serveur.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tractivethreatsstatic-inside-2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1682946326_927_Decouverte-de-la-nouvelle-boite-a-outils-de-logiciels-malveillants.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les transactions frauduleuses sont souvent r\u00e9alis\u00e9es au moyen d&#8217;une technique appel\u00e9e syst\u00e8me de transfert automatis\u00e9 (<a rel=\"nofollow noopener\" href=\"https:\/\/www.cleafy.com\/documents\/how-ats-attacks-work-infographic\" target=\"_blank\">ATS<\/a>) capable de contourner <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Strong_customer_authentication\" target=\"_blank\">syst\u00e8mes anti-fraude<\/a> mis en place par les banques et <a rel=\"nofollow noopener\" href=\"https:\/\/www.malwaretech.com\/2016\/08\/automatic-transfer-systems-ats-for-beginners.html\" target=\"_blank\">lancer des virements \u00e9lectroniques non autoris\u00e9s<\/a> \u00e0 partir de l&#8217;ordinateur de la victime.<\/p>\n<p>Au fil des ans, les op\u00e9rateurs derri\u00e8re drIBAN sont devenus plus avis\u00e9s pour \u00e9viter la d\u00e9tection et d\u00e9velopper des strat\u00e9gies d&#8217;ing\u00e9nierie sociale efficaces, en plus de s&#8217;implanter pendant de longues p\u00e9riodes dans les r\u00e9seaux bancaires d&#8217;entreprise.<\/p>\n<p>Cleafy a d\u00e9clar\u00e9 que 2021 \u00e9tait l&#8217;ann\u00e9e o\u00f9 l&#8217;op\u00e9ration classique de &#8220;cheval de Troie bancaire&#8221; s&#8217;est transform\u00e9e en une menace persistante avanc\u00e9e.  De plus, il y a des indications que le groupe d&#8217;activit\u00e9s chevauche un <a rel=\"nofollow noopener\" href=\"https:\/\/www.proofpoint.com\/us\/threat-insight\/post\/sload-and-ramnit-pairing-sustained-campaigns-against-uk-and-italy\" target=\"_blank\">campagne 2018<\/a> mont\u00e9 par un acteur suivi par Proofpoint en tant que TA554 ciblant les utilisateurs au Canada, en Italie et au Royaume-Uni<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/05\/1683306203_743_Des-pirates-ciblant-les-clients-italiens-des-services-bancaires-aux.png\" alt=\"Services bancaires aux entreprises\" border=\"0\" data-original-height=\"195\" data-original-width=\"728\" title=\"Services bancaires aux entreprises\"\/><\/div>\n<p>La cha\u00eene d&#8217;attaque commence par un <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Certified_email\" target=\"_blank\">e-mail certifi\u00e9<\/a> (ou e-mail PEC) dans le but d&#8217;endormir les victimes dans un faux sentiment de s\u00e9curit\u00e9.  Ces e-mails de phishing contiennent un fichier ex\u00e9cutable qui agit comme un t\u00e9l\u00e9chargeur pour un logiciel malveillant appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/ps1.sload\" target=\"_blank\">sCharger<\/a> (alias chargeur Starslord).<\/p>\n<p>Un chargeur PowerShell, sLoad est un outil de reconnaissance qui collecte et exfiltre les informations de l&#8217;h\u00f4te compromis, dans le but d&#8217;\u00e9valuer la cible et de d\u00e9poser une charge utile plus importante comme <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/details\/win.ramnit\" target=\"_blank\">Ramnit<\/a> si la cible est jug\u00e9e rentable.<\/p>\n<p>&#8220;Cette &#8216;phase d&#8217;enrichissement&#8217; pourrait se poursuivre pendant des jours ou des semaines, selon le nombre de machines infect\u00e9es&#8221;, a not\u00e9 Cleafy.  &#8220;Des donn\u00e9es suppl\u00e9mentaires seront exfiltr\u00e9es pour rendre le botnet r\u00e9sultant de plus en plus solide et coh\u00e9rent.&#8221;<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">WEBINAIRE \u00c0 VENIR<\/span><\/p>\n<p>Apprenez \u00e0 arr\u00eater les ransomwares avec une protection en temps r\u00e9el<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Rejoignez notre webinaire et d\u00e9couvrez comment arr\u00eater les attaques de ransomwares dans leur \u00e9lan gr\u00e2ce \u00e0 la MFA en temps r\u00e9el et \u00e0 la protection des comptes de service.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Sauvez ma place\u00a0!<\/a><\/div>\n<p>sLoad tire \u00e9galement parti de la vie hors de la terre (<a rel=\"nofollow noopener\" href=\"https:\/\/lolbas-project.github.io\/\" target=\"_blank\">LotL<\/a>) techniques en abusant d&#8217;outils Windows l\u00e9gitimes comme <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/powershell\/\" target=\"_blank\">PowerShell<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/bits\/bitsadmin-tool\" target=\"_blank\">BITSAdmin<\/a> dans le cadre de ses m\u00e9canismes d&#8217;\u00e9vasion.<\/p>\n<p>Une autre caract\u00e9ristique du malware est sa capacit\u00e9 \u00e0 v\u00e9rifier par rapport \u00e0 une liste pr\u00e9d\u00e9finie d&#8217;institutions bancaires d&#8217;entreprise pour d\u00e9terminer si le poste de travail pirat\u00e9 fait partie des cibles, et si c&#8217;est le cas, proc\u00e9der \u00e0 l&#8217;infection.<\/p>\n<p>&#8220;Tous les bots qui franchissent avec succ\u00e8s ces \u00e9tapes seront s\u00e9lectionn\u00e9s par les op\u00e9rateurs de botnet et consid\u00e9r\u00e9s comme de &#8220;nouveaux candidats&#8221; pour les op\u00e9rations de fraude bancaire passant \u00e0 l&#8217;\u00e9tape suivante, o\u00f9 Ramnit, l&#8217;un des chevaux de Troie bancaires les plus avanc\u00e9s, sera install\u00e9&#8221;, a d\u00e9clar\u00e9 le ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/hackers-targeting-italian-corporate.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80205 mai 2023\ue804Ravie Lakshmanan Les clients italiens des services bancaires aux entreprises sont la cible d&#8217;une campagne de fraude financi\u00e8re en cours qui s&#8217;appuie sur une nouvelle bo\u00eete \u00e0 outils d&#8217;injection Web appel\u00e9e drIBAN depuis au moins 2019. &#8220;L&#8217;objectif principal des op\u00e9rations de fraude drIBAN est d&#8217;infecter les postes de travail Windows dans les environnements [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":719780,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[507,84,9383,5905,4175,8004,4168,4158,4165,4161,133,160616,3244,7905,4157,4159,4171,4170,65,4167,4160,197,4163,4162,24879,4394,4172,4169,3831,4166,4164,160615],"class_list":["post-719779","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aux","tag-avec","tag-bancaires","tag-boite","tag-ciblant","tag-clients","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-driban","tag-entreprises","tag-italiens","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-outils","tag-pirates","tag-securite-informatique","tag-securite-internet","tag-services","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-webinject"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/719779","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=719779"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/719779\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/719780"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=719779"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=719779"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=719779"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}