Le secteur bancaire est la cible d’attaques visant la chaîne d’approvisionnement en logiciels libres

Des chercheurs en cybersécurité ont déclaré avoir découvert ce qu’ils considèrent comme la première attaque de la chaîne d’approvisionnement de logiciels libres ciblant spécifiquement le secteur bancaire.

« Ces attaques ont mis en évidence des techniques avancées, y compris le ciblage de composants spécifiques dans les actifs web de la banque victime en y attachant des fonctionnalités malveillantes », a déclaré Checkmarx dans un rapport publié la semaine dernière.

« Les attaquants ont utilisé des tactiques trompeuses telles que la création d’un faux profil LinkedIn pour paraître crédible et des centres de commande et de contrôle (C2) personnalisés pour chaque cible, exploitant des services légitimes pour des activités illicites. »

Les paquets npm ont depuis été signalés et supprimés. Les noms des paquets n’ont pas été divulgués.

Dans la première attaque, l’auteur du logiciel malveillant aurait téléchargé quelques paquets dans le registre npm début avril 2023 en se faisant passer pour un employé de la banque cible. Les modules étaient accompagnés d’un script de préinstallation permettant d’activer la séquence d’infection. Pour compléter la ruse, l’acteur de la menace a créé une fausse page LinkedIn.

Une fois lancé, le script a déterminé le système d’exploitation de l’hôte pour voir s’il s’agissait de Windows, Linux ou macOS, et a procédé au téléchargement d’un logiciel malveillant de seconde étape à partir d’un serveur distant en utilisant un sous-domaine sur Azure qui incorporait le nom de la banque en question.

« L’attaquant a intelligemment utilisé les sous-domaines CDN d’Azure pour délivrer efficacement la charge utile de deuxième étape », ont déclaré les chercheurs de Checkmarx. « Cette tactique est particulièrement astucieuse car elle contourne les méthodes traditionnelles de liste de refus, en raison du statut d’Azure en tant que service légitime. »

La charge utile de deuxième étape utilisée dans l’intrusion est Havoc, un cadre de commande et de contrôle (C2) open-source qui a de plus en plus attiré l’attention des acteurs malveillants cherchant à échapper à la détection découlant de l’utilisation de Cobalt Strike, Sliver et Brute Ratel.

Dans une attaque sans rapport détectée en février 2023 et visant une autre banque, l’adversaire a téléchargé sur npm un paquet qui était « méticuleusement conçu pour se fondre dans le site web de la banque victime et rester en sommeil jusqu’à ce qu’il soit invité à entrer en action ».

Plus précisément, il a été conçu pour intercepter secrètement les données de connexion et en exfiltrer les détails vers une infrastructure contrôlée par un acteur.

« La sécurité de la chaîne d’approvisionnement consiste à protéger l’ensemble du processus de création et de distribution des logiciels, depuis les premières étapes du développement jusqu’à la livraison à l’utilisateur final », a déclaré la société.

« Une fois qu’un logiciel malveillant à code source ouvert entre dans le pipeline, il s’agit essentiellement d’une intrusion instantanée qui rend inefficace toute contre-mesure ultérieure. En d’autres termes, le mal est fait. »

Ce développement intervient alors que le groupe de cybercriminels russophones RedCurl a contacté une grande banque russe et une société australienne non identifiées en novembre 2022 et mai 2023 pour siphonner des secrets d’entreprise et des informations sur les employés dans le cadre d’une campagne d’hameçonnage sophistiquée, a déclaré l’arme russe du Group -IB, F.A.C.C.T..

« Au cours des quatre dernières années et demie, le groupe russophone Red Curl […] a mené au moins 34 attaques contre des entreprises du Royaume-Uni, d’Allemagne, du Canada, de Norvège, d’Ukraine et d’Australie », a déclaré la société.

Les institutions financières ont également été la cible d’attaques utilisant un outil d’injection web appelé drIBAN pour effectuer des transactions non autorisées à partir de l’ordinateur d’une victime, de manière à contourner les mécanismes de vérification de l’identité et de lutte contre la fraude adoptés par les banques.

« La fonctionnalité principale de drIBAN est le moteur ATS (Automatic TransferSystem) », ont indiqué les chercheurs de Cleafy Federico Valentini et Alessandro Strin dans une analyse publiée le 18 juillet 2023.

« L’ATS est un injecteur web qui remplit automatiquement les champs d’un formulaire de transaction bancaire en ligne, ce qui permet à l’attaquant d’effectuer des transferts d’argent non autorisés. »

Qu’est-ce qu’un injecteur web?

Les injecteurs web sont des outils qui permettent d’effectuer des transferts d’argent non autorisés.

Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité.

.