L'Opération Francophone persiste et continue d'évoluer

Symantec vient de publier de nouvelles informations sur la campagne de menaces ciblées visant particulièrement des entreprises françaises et qui connait depuis le début de l’année une évolution à plusieurs niveaux : secteurs concernés, nouvelles géographies, nouveau modus operandi sont détaillés sur le blog de Symantec.

Au printemps 2013, Symantec mettait en lumière l’opération baptisée « Francophone » : un ensemble d’attaques d’ingénierie sociale (phishing), touchant principalement des entreprises françaises et destinées à obtenir des virements financiers vers un compte offshore.

Pour rappel, ces attaques d’un nouveau genre, très structurées et particulièrement sophistiquées, impliquent une combinaison d’appels téléphoniques usurpant l’identité d’opérateurs de télécommunications, et des actions de spear phishing (tentatives de hameçonnage ciblé), dans le but d’installer des maliciels capables de subtiliser des informations et de l’argent.

En février dernier, cette opération a pris une nouvelle dimension lorsque les cybercriminels ont détourné de nouveaux sites et noms de domaines légitimes, faisant considérablement augmenter le nombre d’infections. Bien que les escrocs continuent d’utiliser les mêmes serveurs C&C (Command-and-Control) pour leurs attaques, ils se servent désormais d’un nouveau cheval de Troie nommé Trojan.Rokamal, camouflé derrière un DotNet, et capable des actions suivantes :

  • Télécharger et exécuter des fichiers potentiellement dangereux ou frauduleux
  • Lancer des attaques par déni de service (DDoS)
  • Subtiliser des informations
  • Rechercher et extraire des crypto-monnaies
  • Ouvrir des ports et accès dérobés sur un ordinateur (back doors)

Les fonctionnalités d’extraction de crypto-monnaies et d’attaques DDoS n’étaient pas actives dans les échantillons de Trojan.Rokamal que Symantec a analysés, ce qui apparait logique puisque ces attaques ciblées se déroulent dans un environnement professionnel et que de telles opérations malveillantes seraient rapidement détectées.

Les secteurs des entreprises ciblées par l’opération Francophone sont détaillés dans le schéma ci-dessous :

Autre mutation importante de cette opération : alors que les cybercriminels ciblaient initialement des entreprises françaises installées en France, ils ont maintenant étendu leurs tentatives à des professionnels francophones travaillant dans des entreprises à l’étranger.

Plus d’informations sont disponibles sur le blog de Symantec.

Auteur : Symantec.

Les derniers produits des risques professionnels

Réagissez en laissant votre commentaire !