Aller sur la page d'accueil Aller sur la page de recherche Aller sur la page contact Aller sur la page de connexion à son compte
Aller sur le compte Facebook Aller sur le compte Linkedin Aller sur le compte twitter Aller sur le compte Vimeo
S'abonner à la lettre du risque

Newsletter

Produits

{{{name}}}

Services

{{{name}}}

Fabricants

{{{name}}}

Experts

{{{name}}}

Fiches pratiques

- {{{name}}}

Actualités

- {{{name}}}

Normes

- {{{name}}}

Solutions

- {{{name}}}1

Accueil > Actualités et normes > L'Opération Francophone persiste et continue d'évoluer

Croix pour fermer

Risques informatiques

L'Opération Francophone persiste et continue d'évoluer

Publié le

Symantec vient de publier de nouvelles informations sur la campagne de menaces ciblées visant particulièrement des entreprises françaises et qui connait depuis le début de l’année une évolution à plusieurs niveaux : secteurs concernés, nouvelles géographies, nouveau modus operandi sont détaillés sur le blog de Symantec.

Au printemps 2013, Symantec mettait en lumière l’opération baptisée « Francophone » : un ensemble d’attaques d’ingénierie sociale (phishing), touchant principalement des entreprises françaises et destinées à obtenir des virements financiers vers un compte offshore.

Pour rappel, ces attaques d’un nouveau genre, très structurées et particulièrement sophistiquées, impliquent une combinaison d’appels téléphoniques usurpant l’identité d’opérateurs de télécommunications, et des actions de spear phishing (tentatives de hameçonnage ciblé), dans le but d’installer des maliciels capables de subtiliser des informations et de l’argent.

En février dernier, cette opération a pris une nouvelle dimension lorsque les cybercriminels ont détourné de nouveaux sites et noms de domaines légitimes, faisant considérablement augmenter le nombre d’infections. Bien que les escrocs continuent d’utiliser les mêmes serveurs C&C (Command-and-Control) pour leurs attaques, ils se servent désormais d’un nouveau cheval de Troie nommé Trojan.Rokamal, camouflé derrière un DotNet, et capable des actions suivantes :

  • Télécharger et exécuter des fichiers potentiellement dangereux ou frauduleux
  • Lancer des attaques par déni de service (DDoS)
  • Subtiliser des informations
  • Rechercher et extraire des crypto-monnaies
  • Ouvrir des ports et accès dérobés sur un ordinateur (back doors)

Les fonctionnalités d’extraction de crypto-monnaies et d’attaques DDoS n’étaient pas actives dans les échantillons de Trojan.Rokamal que Symantec a analysés, ce qui apparait logique puisque ces attaques ciblées se déroulent dans un environnement professionnel et que de telles opérations malveillantes seraient rapidement détectées.

Les secteurs des entreprises ciblées par l’opération Francophone sont détaillés dans le schéma ci-dessous :

Autre mutation importante de cette opération : alors que les cybercriminels ciblaient initialement des entreprises françaises installées en France, ils ont maintenant étendu leurs tentatives à des professionnels francophones travaillant dans des entreprises à l’étranger.

Plus d’informations sont disponibles sur le blog de Symantec.

Auteur : Symantec.

Réagissez en laissant votre commentaire !


Partagez sur les réseaux sociaux

Inforisque sur Facebook Inforisque sur Linkedin Inforisque sur Twitter Inforisque sur Vimeo

Les dernières actualités

Image Risques informatiques

14
Novembre
2019

Risques informatiques

Les logiciels malveillants « les plus recherchés » en octobre 2019

Lire la suite
Image Risques dans les bâtiments

14
Novembre
2019

Risques dans les bâtiments

Aspiration d’un atelier de menuiserie

Lire la suite
Image Risques pour l'environnement

14
Novembre
2019

Risques pour l'environnement

Energies renouvelables : comment valoriser les ressources locales ?

Lire la suite

Les derniers produits