TR-93 - Fraude financière après compromission du système via des outils de gestion et de surveillance à distance

TR-93 - Fraude financière après compromission du système via des outils de gestion et de surveillance à distance

Back to TR-93 - Financial transaction fraud after sytem compromise via Remote Management and Monitoring tools

  1. Résumé
  2. Impact au Luxembourg
  3. Mode opératoire
  4. Mesures de protection
  5. Que faire en cas de compromission ?
  6. Contre-mesures efficaces
  7. Récupération après compromission
  8. Conclusion
  9. IoC
  10. Classification du document
  11. Révision

You can report incidents via our official contact including e-mail, phone or use the Anonymous reporting form.

Search


CIRCL is accredited TI CIRCL is a FIRST member CIRCL is an OASIS member

Résumé

Ce document décrit une attaque de type Malspam ciblant les entreprises via des e-mails frauduleux exploitant des outils de gestion et de surveillance à distance (Remote Monitoring & Management - RMM). Les attaquants trompent les destinataires en leur faisant cliquer sur un lien malveillant, déguisé en facture, qui installe un outil RMM sur leur système. Comme ces outils sont des applications légitimes, ils contournent les antivirus et permettent aux attaquants d’obtenir un accès distant complet.

Une fois l’accès établi, les attaquants renforcent leur contrôle en installant des outils RMM supplémentaires, en diffusant des e-mails malveillants et en modifiant les paramètres du système. Leur objectif principal est d’exploiter les stations de travail compromises – souvent celles des comptables ou responsables financiers – pour intercepter les codes PIN des cartes à puce et exécuter des transferts frauduleux, entraînant des pertes financières considérables.

Ce document propose une analyse détaillée du mode opératoire, des risques encourus et des mesures de protection recommandées pour se prémunir contre ces attaques.

Impact au Luxembourg

Ces dernières semaines, plusieurs organisations et particuliers nous ont signalé des demandes inhabituelles de leurs banques, telles que :

  • « Voulez-vous vraiment effectuer 10 transactions pour un total de 30.000 EUR vers l’étranger ? »
  • « Voulez-vous vraiment exécuter un virement de 1.000.000 EUR vers l’étranger ? »

Ces transactions sont réelles et ont été initiées par des attaquants, qui ont pris le contrôle du système bancaire de la victime en installant des outils de gestion et de surveillance à distance (RMM).
L’infection initiale se fait par des attaques de phishing et de spear-phishing, comme décrit ci-dessous.

Mode opératoire

  1. L’attaquant envoie un e-mail frauduleux contenant une fausse facture en pièce jointe.
  2. La pièce jointe est en réalité un lien qui télécharge un outil RMM sur l’ordinateur de la victime.
  3. Si la victime clique sur le lien, l’outil RMM est installé sur son système.
  4. L’antivirus ne détecte pas l’outil RMM comme malveillant, car il s’agit d’une application légitime.
  5. L’attaquant obtient un accès distant total au système et peut capturer le code PIN des cartes à puce utilisées pour l’authentification bancaire.
  6. L’attaquant exécute ensuite les actions suivantes :
    • Installation d’autres outils RMM pour assurer un accès persistant.
    • Envoi d’e-mails frauduleux aux contacts du carnet d’adresses de la victime.
    • Analyse approfondie du système compromis.
    • Modification des paramètres système pour atteindre ses objectifs.
    • Exécution de transactions financières frauduleuses.

Exemples récents

Objet : Recouvrement de facture impayée – Facture no FACT#062024 et FACT#072024 datée du 15/06/2024

Monsieur, Madame,

La présente communication concerne la facture no FACT#032024 et FACT#042024 au montant total de 32.857€ qui Recouvrement de facture impayée – Facture no FACT#062024 et FACT#072024 datée du 15/06/2024. Vous trouverez en annexe une copie de la facture pertinente.

Comme vous le savez, nous vous avons fourni le delai de recouvrement du dossier R1184521. Or, malgré le rappel effectué le 15/06/2024 à laquelle une lettre de relance a été envoyée, nous constatons que la facture demeure impayée, et ce, bien que nous ayons rempli toutes nos obligations.

Ainsi, nous vous prions de nous faire parvenir un chèque certifié au montant de 32.857€ à l’ordre de notre entreprise dans les 10 jours de la réception de la présente mise en demeure. Le chèque devra être transmis au notre adresse. À défaut, une demande en justice pourrait être déposée contre vous, sans autre avis ni délai.

Soyez avisé que nous considérerons de bonne foi tout mode alternatif de règlement proposé. Nous sommes d’avis qu’il est dans l’intérêt de tous que cette situation puisse être réglée à l’amiable. En ce sens, nous vous invitons à communiquer avec nous si vous désirez discuter de la présente mise en demeure.

Nous vous invitons à ignorer la présente lettre si le paiement a été effectué avant la date de réception de cette communication.

VEUILLEZ AGIR EN CONSÉQUENCE.

Mesures de protection

Pour prévenir ces attaques de type Malspam (e-mails malveillants contenant des liens menant à des logiciels indésirables), une approche de sécurité multicouche est indispensable. Voici quelques mesures efficaces :

1. Sécurisation des e-mails

  • Filtres avancés – Utilisation de passerelles sécurisées et de filtres anti-spam.
  • Désactivation du téléchargement automatique des pièces jointes.
  • Analyse et sandboxing des liens – Vérification des URL en temps réel.
  • CIRCL propose un service en ligne gratuit pour analyser les pièces jointes des e-mails: pandora

2. Sensibilisation et formation des utilisateurs

  • Campagnes de sensibilisation – Former les employés à ne pas cliquer sur des liens suspects.
  • Survol des liens avant de cliquer pour vérifier leur destination.
  • Simulations de phishing – Tests réguliers pour entraîner les employés à détecter les e-mails frauduleux.
  • CIRCL propose un service en ligne gratuit pour l’analyse des URL: lookyloo

3. Protection des postes de travail et du réseau

  • Filtrage des URL malveillantes – Blocage des domaines frauduleux via un proxy ou un outil de sécurité.
  • Whitelisting des applications – Seules les applications autorisées peuvent s’exécuter.
  • Solutions avancées de détection (EDR/NGAV) – Surveillance et blocage des comportements malveillants.

4. Authentification et protection contre l’usurpation d’identité

  • Mise en place de DMARC, DKIM et SPF – Protection contre le spoofing d’e-mail.
  • Surveillance des noms de domaine – Enregistrement de variantes pour prévenir l’usurpation.
  • Configuration correcte du DNS - voir TR-92.

5. Gestion des accès et principe du moindre privilège

  • Restriction des droits utilisateur – Pas de droits administrateurs sans nécessité.
  • Authentification renforcée – Vérification des actions sensibles.
  • Désactivation des macros et de l’exécution automatique des scripts.

6. Autres bonnes pratiques

  • Mises à jour régulières des logiciels et du système d’exploitation.
  • Désactivation des extensions de navigateur non essentielles.

7. Surveillance et réponse aux incidents

  • Surveillance via SIEM – Détection des comportements anormaux.
  • Plan de réponse aux incidents – Isolement rapide des appareils compromis.

Que faire en cas de compromission ?

  • Déconnecter immédiatement l’ordinateur compromis du réseau (y compris le Wi-Fi !).
  • Contacter votre équipe de réponse aux incidents ou CIRCL.
  • Informer l’équipe IT pour une surveillance renforcée.
  • Identifier d’autres systèmes potentiellement touchés.
  • Avertir vos contacts de ne pas ouvrir de liens provenant de votre entreprise.
  • Former le personnel à détecter ces attaques.
  • Déclarer la violation à la CNPD dans les 72 heures si des données personnelles sont compromises.

Contre-mesures efficaces

Les solutions inefficaces proposées par certains prestataires IT

Un simple scan antivirus est insuffisant, car :
- Les outils RMM légitimes ne sont pas détectés comme malveillants.
- Des portes dérobées peuvent rester actives.
- L’attaquant peut rétablir son accès rapidement.

Les bonnes pratiques à adopter

  • Déployer une solution EDR et mettre en place une liste blanche des outils RMM.
  • Utilisez LuxTrust Mobile ou LuxTrust Scan au lieu d’une carte à puce pour vous authentifier (voir la documentation LuxTrust)
  • Retirer la carte à puce du lecteur lorsqu’elle n’est pas utilisée.
  • Mettre en place une validation à deux personnes pour les transactions bancaires.
  • Activer des facteurs d’authentification supplémentaires.
  • Choisir une banque qui effectue une vérification des bénéficiaires.

Récupération après compromission

  • Contacter immédiatement la banque pour tenter de bloquer les transactions frauduleuses.
  • Déposer une plainte auprès de la police.
  • Contacter CIRCL pour une analyse approfondie.
  • Réinstaller complètement le système compromis.
  • Surveiller les accès à distance (RDP, VPN, etc.).
  • Réinitialiser tous les mots de passe.
  • Activer l’authentification à deux facteurs (2FA).
  • Renforcer la formation des employés.

Conclusion

Un simple scan antivirus ne suffit pas. Pour une récupération complète, il est nécessaire de réinstaller totalement le système affecté.

IoC

Voir l’événement MISP UUID 5f7819de-5656-4063-a76a-a39253ee5154, disponible sur l’instance MISP pour le secteur privé.

Classification du document

TLP:CLEAR – Diffusion libre sous réserve du respect des droits d’auteur.

Révision

  • Version 1.0 - TLP:CLEAR - Première version - 26 février 2025