Imperva : malware, entre grand public et entreprise

Editée avec l’Application Defense Center, cette étude se concentre sur un malware brésilien et sur 14 serveurs de contrôle et commande (C2), ce qui représente une masse de 10 000 enregistrements sur presque 5 000 adresses IP distinctes. Dans la majeure partie des cas observés, les infections se sont propagées durant « les heures de bureau » prouvant ainsi que les ordinateurs étaient bien utilisés pour le travail. Pas moins de 17% des machines infectées étaient connectées au réseau de l’entreprise ce qui démontre la facilité avec laquelle les individus malveillants peuvent possiblement s’introduire dans le système d’information…

Au niveau du comportement du malware, ils utilisent des techniques de social engineering et de phishing afin de contaminer l’appareil de la victime par le biais d’un message d’apparence authentique avec en lien un fichier zippé. L’utilisateur renvoyé vers un exécutable, démarre le processus qui infecte son poste de travail et le malware surveille ainsi ses moindres faits et gestes. Il suffit alors pour les pirates d’attendre le moment où l’utilisateur se connecte à sa banque et saisit ses identifiants (en l’occurrence ici, une banque brésilienne) pour que le malware intercepte ces informations et les restitue. Dès lors, on imagine toutes les applications possibles comme les fraudes, la vente de données, l’utilisation de ces informations pour lancer de nouvelles attaques… etc.

Lorsque l’utilisateur tombe dans ce piège, c’est non seulement ses informations qu’il met en danger mais comme l’explique Amichai Shulman, cofondateur et CTO d’Imperva, «si l’employé lit l’un de ces messages sur son ordinateur personnel connecté à l’entreprise via un réseau privé virtuel (VPN), il expose son employeur à une attaque potentielle. Alors que le malware évolue plus vite que la protection antivirus, les entreprises ne doivent plus mettre l’accent sur la détection des attaques mais directement sur la surveillance et la protection de leurs données, applications et comptes utilisateurs. Avec les tendances du BYOD et du télétravail, la surveillance de l’activité sur les données et fichiers est le meilleur moyen de prévenir le piratage d’informations sensibles pour l’entreprise ».

Autre fait mis en lumière, ce sont de véritables organisations criminelles qui existent avec plusieurs individus spécialisés dans des tâches différentes, des compétences techniques variables et collaborant parfois ensemble avec tous pour base ce même malware sous-jacent. Pour finir, les stratégies sont parfois déployées avec des serveurs C2 sur des sites légitimes détournés ou bien des sites créés uniquement dans le but de piéger les victimes.