Beaucoup de banques sont ciblées, mais pas uniquement, des sociétés sans aucun rapport avec le secteur bancaire étant également impactées. Il apparaît que dans certaines de ces attaques, l’URL ne redirige pas immédiatement vers l’exécutable malicieux, mais vers un faux site de messagerie "Outlook Web Access".
Il apparaît également que les e-mails spammés sont envoyés depuis un botnet, de multiples adresses IP de particuliers abonnés à l’ADSL apparaissant comme origine de la campagne. Les sites web frauduleux eux-mêmes sont également hébergés sur un botnet. Cette nouvelle vague d’attaque démontre une créativité certaine des pirates dans l’ingénierie sociale de masse, et l’exploitation de moyens techniques conséquents. Ainsi, l’identification des cibles semble reposer sur des recherches automatiques de sites dans un moteur de recherche : certains domaines, détenus par des particuliers, ont également été ciblés.
Ci-dessous un inventaire (très partiel) de quelques sites frauduleux que nous avons détectés :
*updates.ameropa.de.secure.1-cert.net
*updates.bendigobank.com.au.secure.1-central.net
*updates.bendigobank.com.au.secure.1-db.net
*updates.bendigobank.com.au.secure.1ssl-certs.net
*updates.bendigobank.com.au.secure.admindatacenter.com
*updates.bendigobank.com.au.secure.central-updates.net
*updates.bendigobank.com.au.secure.ssl-updates.com
*updates.berliner-volksbank.de.secure.1ssl-certs.com
*updates.berliner-volksbank.de.secure.ssl-datacontrol.net
*updates.blurfl.com.secure.ssl-updates.net
*updates.borg.mindspring.com.secure.1-db.net
*updates.carohosting.com.secure.1ssl-certs.com
*updates.cdsave.com.secure.upd-services.net
*updates.fuckyou.com.secure.1-central.com
*updates.gmail.com.secure.ssl-updates.net
*updates.halifax.es.secure.first-systems.com
*updates.hardrockgroup.net.secure.central-updates.com
*updates.heartbeatentertainment.com.au.secure.1ssl-network.com
*updates.hm-treasury.gov.uk.secure.oneupdate.net
*updates.hm-treasury.gov.uk.secure.updata-1.com
*updates.hmrc.gsi.gov.uk.secure.admin-data.net
*updates.hmrc.gsi.gov.uk.secure.cert1.net
*updates.hmrc.gsi.gov.uk.secure.upd-center.net
*updates.ing.com.au.secure.1cert.net
*updates.ing.com.au.secure.admin-systems.com
*updates.ing.com.au.secure.ssl-datacontrol.com
*updates.ing.com.au.secure.sys-1.net
*updates.ing.com.au.secure.up1-mail.net
*updates.ing.com.au.secure.upd-central.com
*updates.ing.com.hk.secure.1-cert.com
*updates.ing.com.hk.secure.1ssl-certs.net
*updates.ingcanada.com.secure.upd01.com
*updates.khb.hu.secure.ssl-updates.net
*updates.kqlz.org.secure.cert-services.net
*updates.lloydstsb-offshore.com.secure.admin-db.net
*updates.lloydstsb-offshore.com.secure.nixserver-systems.net
*updates.lloydstsb-offshore.com.secure.updata-1.net
*updates.nab.com.au.secure.1ssl-network.net
*updates.nabholz.com.secure.ssl-updates.com
*updates.nanoprobes.com.secure.1-cert.com
*updates.nanoprobes.com.secure.updata-1.net
*updates.national.com.au.secure.upd-center.com
*updates.nationwide.co.uk.secure.1-admin.net
*updates.redcross-philly.org.secure.upd-services.net
*updates.spamcop.net.secure.admindatacenter.net
*updates.toplanguagejobs.co.uk.secure.up1-mail.net
*updates.weblab.de.secure.admin-db.net
*updates.weblab.de.secure.admindatacenter.com
*updates.weblab.de.secure.ssl-datacontrol.net
*updates.weblab.de.secure.sys-1.net
*updates.yahoo.com.secure.central-updates.com
*updates.ybonline.co.uk.secure.admin-systems.com
*updates.khb.hu.secure.ssl-updates.net
*www.updates.khb.hu.secure.ssl-updates.net
*updates.redcross-philly.org.secure.upd-services.net
*updates.nanoprobes.com.secure.updata-1.net
*updates.hm-treasury.gov.uk.secure.updata-1.com
*updates.hmrc.gsi.gov.uk.secure.admin-data.net
*updates.bendigobank.com.au.secure.1-db.net
*updates.bendigobank.com.au.secure.central-updates.net
*updates.nanoprobes.com.secure.1-cert.com
*updates.carohosting.com.secure.1ssl-certs.com
*updates.halifax.es.secure.first-systems.com
*updates.heartbeatentertainment.com.au.secure.1ssl-network.com
*updates.ing.com.au.secure.upd-central.com
*updates.cdsave.com.secure.upd-services.net
*updates.bendigobank.com.au.secure.1ssl-certs.net
*updates.blurfl.com.secure.ssl-updates.net
*updates.yahoo.com.secure.central-updates.com
*updates.borg.mindspring.com.secure.1-db.net
*updates.nab.com.au.secure.1ssl-network.net
*updates.ybonline.co.uk.secure.admin-systems.com
*updates.ing.com.au.secure.ssl-datacontrol.com
*updates.bendigobank.com.au.secure.1-central.net
*updates.ing.com.au.secure.sys-1.net
*updates.hm-treasury.gov.uk.secure.oneupdate.net
*updates.nationwide.co.uk.secure.1-admin.net
Pierre Caron - Cert-Lexsi
Publié le 15 octobre 2009 dans Sécurité et cybercriminalité
(Source :zdnet)