DÉFINITION DU VIRUS
Type de virus : menace persistante avancée, cheval de Troie et programme malveillant.
Qu'est-ce que Metel ?
Metel est un cheval de Troie ciblant les services bancaires (également connu sous le nom de Corkow) découvert en 2011 lorsqu'il a été utilisé pour s'en prendre aux utilisateurs de services bancaires en ligne. En 2015, les criminels à l'origine de Metel ont commencé à s'attaquer directement aux banques et aux établissements financiers.
Que peut-il faire ?
Après la phase d'infection, les criminels se déplacent latéralement avec l'aide d'outils légitimes et de tests de pénétration, dérobant ainsi les mots de passe de leurs victimes initiales (point d'entrée) afin d'accéder aux ordinateurs de l'organisation bénéficiant d'un accès aux transactions financières. Grâce à ce niveau d'accès, les criminels ont été en mesure de réaliser un tour de passe-passe très habile en automatisant l'annulation des transactions bancaires sur les distributeurs automatiques. Autrement dit, cet argent peut être volé sur des distributeurs automatiques à l'aide de cartes de débit sans modifier le solde de ces cartes, permettant ainsi aux malfaiteurs d'effectuer plusieurs retraits sur différents DAB.
Qui sont les victimes de ses attaques ?
Les victimes que nous avons recensées se limitent aux banques et aux établissements financiers.
Principales cibles au sein de ces organisations :
- Dans les banques : la base de données de services bancaires en ligne. Les criminels peuvent jouer avec le solde des cartes.
- Dans les entreprises : un ordinateur du service de comptabilité intégrant un système banque/client qui dispose d'un accès aux transactions financières. Les criminels peuvent remplacer les coordonnées bancaires d'une transaction réelle ou traiter manuellement des transactions frauduleuses.
- API de serveurs de paiement : il s'agit d'un logiciel qui indique la somme devant être transférée vers un numéro de téléphone spécifique. Les criminels peuvent jouer avec cette API en lui faisant croire qu'un client transfère 10 000 roubles (environ 120 $) vers un grand nombre de numéros de téléphone.
Est-ce que je cours un risque ?
Jusqu'à présent, les chercheurs de Kaspersky Lab ont identifié des attaques uniquement en Russie. Mais tout porte à croire que l'infection est bien plus répandue et il a été recommandé aux banques du monde entier de détecter l'infection de manière proactive.
Comment savoir si je suis infecté ?
Les produits Kaspersky Lab détectent et bloquent efficacement le programme malveillant utilisé par Metel à l'aide des noms de détection suivants :
Trojan-Dropper.Win32.Metel ; Backdoor.Win32.Metel et Trojan-Banker.Win32.Metel
Des indicateurs de compromission sont également disponibles dans un article de blog publié sur le site Internet Securelist.
Comment puis-je me protéger ?
Pour renforcer le niveau de protection, les organisations doivent utiliser la fonction Surveillance du système qui intègre le module BSS (Behavior Stream Signatures - signatures de courant de comportement). Il est inclus dans tous les produits et solutions actuels.
Pour assurer votre sécurité, veillez à utiliser des solutions de protection contre les programmes malveillants avancées telles que Kaspersky Endpoint Security for Business. Soyez également bien sensibilisé à votre cybersécurité afin d'être certain d'identifier des e-mails de phishing dans votre boîte de réception.
Il va de soi que proposer simplement des couches diverses et variées de sécurité des terminaux puissantes n’est pas suffisant. Le phishing ciblé est l'une des techniques d'infection initiale les plus répandues. Il est donc indispensable de disposer d'une solution de sécurité de messagerie fiable. Kaspersky Security for Mail Server analyse les e-mails entrants en recherchant les pièces jointes et les URL malveillantes, ce qui réduit considérablement la probabilité qu'un programme malveillant n'atteigne ses victimes.