Une nouvelle cyber attaque dirigée contre le e-banking suisse

Depuis quelques jours, une énorme fraude en ligne contenant le Troyen bancaire Retefe, s’attaque à la Suisse. Ce phishing est spécialement développé pour s’attaquer à l’e-banking de banques suisses .  L’email contient deux pièces jointes (un pour Mac l’autre pour PC ) contenant le malware et pousse l’utilisateur à les ouvrir. Il y a de nombreuses variations de l’email envoyé utilisant des fausses adresses tel que la police zurichoise , l’administration fiscale , des e-Tickets de Swiss , etc. Une fois la pièce jointe ouverte, le malware est téléchargé depuis Dropbox pour Windows et prétend être une mise à jour système pour Mac. Le Troyen se propage ensuite sur le système et effectue une attaque MitM & MitB .  Ce malware installe des faux certificats (ressemblant à Comodo) dans la racine du système afin de pouvoir intercepter tout le trafic (même crypté) sans qu’il n’y ait aucune alerte qui apparaisse pour l’utilisateur.

Si la victime se trouve en suisse (le malware vérifie la géolocalisation IP) alors un proxy va intercepter toutes les connexions à ces banques  

.postfinance.ch, cs.directnet.com, akb.ch, ubs.com, tb.raiffeisendirect.ch, bkb.ch, lukb.ch, zkb.ch, onba.ch, gkb.ch, bekb.ch, zugerkb.ch, bcge.ch, raiffeisen.ch, credit-suisse.com, .clientis.ch, clientis.ch, bcvs.ch, .cic.ch, cic.ch, baloise.ch, ukb.ch, .ukb.ch, urkb.ch, .urkb.ch, eek.ch, szkb.ch, shkb.ch, glkb.ch, nkb.ch, owkb.ch, cash.ch, bcf.ch, ebanking.raiffeisen.ch, bcv.ch, juliusbaer.com, abs.ch, bcn.ch, blkb.ch, bcj.ch, zuercherlandbank.ch, valiant.ch, wir.ch, bankthalwil.ch, piguetgalland.ch, triba.ch, inlinea.ch, bernerlandbank.ch, bancasempione.ch, bsibank.com, corneronline.ch, vermoegenszentrum.ch, gobanking.ch, slbucheggberg.ch, slfrutigen.ch, hypobank.ch, regiobank.ch, rbm.ch, hbl.ch, ersparniskasse.ch, ekr.ch, sparkasse-dielsdorf.ch, eki.ch, bankgantrisch.ch, bbobank.ch, alpharheintalbank.ch, aekbank.ch, acrevis.ch, credinvest.ch, bancazarattini.ch, appkb.ch, arabbank.ch, apbank.ch, notenstein-laroche.ch, bankbiz.ch, bankleerau.ch, btv3banken.ch, dcbank.ch, bordier.com, banquethaler.com, bankzimmerberg.ch, bbva.ch, bankhaus-jungholz.ch, sparhafen.ch, banquecramer.ch, banqueduleman.ch, bcpconnect.com, bil.com, vontobel.com, pbgate.net, bnpparibas.com, ceanet.ch, ce-riviera.ch, cedc.ch, cmvsa.ch, ekaffoltern.ch, glarner-regionalbank.ch, cen.ch, cbhbank.com, coutts.com, cimbanque.net, cembra.ch, commerzbank.com, dominickco.ch, efginternational.com, exane.com, falconpb.com, gemeinschaftsbank.ch, frankfurter-bankgesellschaft.com, globalance-bank.com, ca-financements.ch, hsbcprivatebank.com, leihkasse-stammheim.ch, incorebank.ch, lienhardt.ch, mmwarburg.ch, maerki-baumann.ch, mirabaud.com, nordea.ch, pbihag.ch, rahnbodmer.ch, mybancaria.ch, reyl.com, saanenbank.ch, sebgroup.com, slguerbetal.ch, bankslm.ch, neuehelvetischebank.ch, slr.ch, slwynigen.ch, sparkasse.ch, umtb.ch, trafina.ch, ubp.com 

Pour ensuite les rediriger sur un site identique à celui de sa banque, mais hébergé sur le darkweb et détenu par les hackeurs. 

Une fois que l’utilisateur s’authentifie, toutes les informations (nom d’utilisateur, mot de passe, navigateur, configuration du système, etc.) sont envoyées aux hackeurs qui peuvent ensuite compromettre le compte bancaire. 

Comment se protéger


Une bonne sécurité informatique doit couvrir une protection en profondeur afin de s’assurer que plusieurs niveaux de protection puissent bloquer l’attaque. Voici plusieurs points essentiels afin de pouvoir empêcher cette attaque de vous infecter : 

Email 
Nous recommandons d’utiliser un système de protection avancé pour votre email, avec une chambre à détonation pour les pièces jointes (VM d’ouverture), une whitelist pour les extensions, une validation stricte des en-têtes de l’email et un outil d’alerte pour les utilisateurs finaux en cas d’emails suspects. 
La solution ZENMail par ZENData offre tous ces services et de nombreux d’autres 

Anti-Malware 
Nous recommandons d’utiliser un antivirus nouvelle génération qui peut bloquer des attaques encore inconnues basées sur de l’intelligence artificielle et analyse du comportement. Il est aussi important d’avoir un une plateforme de reporting & d’analyse afin d’avoir une visibilité sur les menaces et de pouvoir comprendre ce que les malwares tentent de faire. 
La solution d’ Invincea représentée par ZENData répond à ces critères et est un des leader sur ce marché mondial. 

Analyse des activités 
Nous recommandons la mise en place d’un SIEM/SOC afin de pouvoir récupérer tous les événements passés sur une infrastructure (tel que l’installation de nouveaux certificats) et de pouvoir agir rapidement sur les incidents. 
ZENData offre des services de SIEM & SOC avec une permanence d’analyse et des protocoles de réactions automatisés défini au cas par cas. 

Formation des utilisateurs 
Nous recommandons de former et d’éduquer les utilisateurs sur les risques, dangers et conséquences des cyber-attaques. Seulement avec une formation continue et adaptée, les utilisateurs pourront activement protéger votre société. 
ZENData fournit des formations personnalisées en ligne, en salle de cours, sous format de stage et autour de petit déjeuner. 

Finalement la NSA a sur son portail GitHub un outil open source pour vérifier les certificats d’origine. 

ZENData reste à votre disposition pour contrôler et protéger votre infrastructure ainsi que de vous conseiller et former vos utilisateurs. 

N’hésitez pas à nous contacter. 

Stay informed with us!

You can subscribe to our monthly cybersecurity newsletter to receive updates about us and the industry

Blog

Check the latest updates on threats, stories, events and analysis.

Chinese state-sponsored group RedDelta conducted cyber-espionage campaigns

Telegram hands over data on thousands of users to US law enforcement

AI and deepfakes are redefining social engineering threats