Vous êtes ici : Accueil > Antivirus Gratuit > Un nouveau malware vole 56 millions de numéros de carte bancaire

Un nouveau malware vole 56 millions de numéros de carte bancaire

Un nouveau malware vole 56 millions de numéros de carte bancaire FrameworkPOS, c’est ainsi que se nomme le nouveau logiciel malveillant analysé par l’éditeur de solutions de sécurité GData. Ce dernier a été détecté début septembre après avoir volé, pendant près de six mois, pas moins de 56 millions de numéros de carte bancaire des clients du détaillant américain Home Depot. Une histoire qui peut malheureusement paraître banal aujourd’hui, où les cyber-criminels sévissent de plus en plus, mais qui en réalité ne l’est pas du tout. Si globalement le logiciel en question est assez similaire à d’autres malwares existants, ce dernier se différencie par sa méthode de vol de données. Caché dans les caisses automatiques des magasins, ce malware a réussi à détourner les requêtes DNS des machines, volant au passage le numéro des cartes de paiement des clients.

Une méthode d’extraction de données plutôt rare

Selon les premiers résultats de GData, ce malware utilise les requêtes DNS pour exfiltrer les données volées. Autrement dit, quand un client paye avec sa carte bleue à la caisse, le logiciel malveillant « détourne » les DNS afin de récupérer le numéro de carte bancaire du client en question. Une méthode assez intelligente car indécelable au moment T. Les données transmises dans la demande de DNS sont codées, et le domaine utilisé par l’exfiltration n’est pas stockée en clair dans la base de registre. Ce qui signifie que le seul moyen pour connaître le domaine utilisé pour exfiltrer les données volées est d’analyser une machine infectée. Encore faut-il savoir qu’elle l’est ! Cette analyse du code de ce logiciel malveillant permet de mettre ainsi en relief la méthode de travail utilisé aujourd’hui par les cybercriminels, qui pour attaquer les canaux de contrôle et de communication des entreprises les plus importantes du monde, inventent de nouveaux stratagèmes toujours plus pointus qui demandent d’augmenter son niveau de vigilance.

« Nous sommes désolés pour la frustration et l'inquiétude que cela cause à nos clients »

Deux semaines après la découverte du logiciel malveillant, Home Depot a désactivé toutes les machines infectées afin de les remplacer par de nouveaux terminaux cryptés. L’entreprise a également assuré que le matériel mis en place dans les magasins canadiens serait, quant à lui, complété au début de l’année prochaine. Mais c’est surtout auprès de ses clients que la société américaine a dû faire son mea-culpa : « Nous sommes désolés pour la frustration et l'inquiétude que cela cause à nos clients », a indiqué l'entreprise sur son site Web. « Nous souhaitons également vous rappeler que vous ne serez pas tenus responsables des potentielles dépenses frauduleuses portées à vos comptes et que nous offrons gratuitement des services de protection de l'identité, y compris le contrôle du crédit, à tout client ayant utilisé une carte de paiement dans un magasin Home Depot depuis avril 2014. »

Néanmoins afin que le cas de Home Depot ne se reproduise pas, GData conseille vivement aux entreprises qui utilisent des systèmes de PDS d’installer un DNS passif afin de contrôler et de stocker les activités des DNS. Une sorte d’historique de DNS permettant aux entreprises d’être alertées en cas de comportements suspects, et d’effectuer des analyses post-attaque. Un moyen comme un autre de protéger les systèmes et de barrer la route aux hackers peu scrupuleux.

Source

Pas de commentaires
Soyez le premier à déposer un commentaire

Laisser un commentaire pour l'article Un nouveau malware vole 56 millions de numéros de carte bancaire

Merci de rester correct et de respecter les différents intervenants.