Plus de 500 000 € dérobés aux clients d’une banque européenne

Selon Kaspersky Lab, des cybercriminels ont réussi à siphonner plus de 500 000 € des comptes de plus de 190 clients d’une banque européenne. Les chercheurs n’ont pas révélé le nom de l’institut concerné, mais les rapports d’activité du serveur de commande et de contrôle du logiciel malveillant impliqué indiquent que la plupart des victimes se trouvent en Italie et en Turquie, avec des montants dérobés allant de 1 700 € à 39 000 €.

L’opération, baptisée Luuuk par les chercheurs, ne semble avoir duré qu’une semaine avant la découverte du serveur de contrôle en janvier dernier. En l’espace de deux jours après sa découverte, le serveur a été arrêté et effacé. Mais les chercheurs estiment qu’il s’agit plutôt là d’un changement d’infrastructure que d’un arrêt de l’opération : « peu de temps après avoir détecté ce serveur, nous avons contacté le service de sécurité de la banque et les autorités concernées, puis transmis toutes nos preuves », explique Vincente Diaz, chercheur en sécurité chez Kaspersky Lab.

Les cybercriminels semblent avoir agi selon une technique de man-in-the-middle, intervenant dès que leur victime s’est connectée à son service de banque en ligne pour réaliser des transactions frauduleuses. Las, Diaz explique que le serveur de contrôle découvert n’a pas permis d’identifier le logiciel malveillant utilisé. « Toutefois, de nombreuses variantes de Zeus, telles que Citadel, SpyEye et IceIX disposent des capacités nécessaires. Nous pensons que le logiciel malveillant utilisé pour cette campagne pourrait être une variante de Zeus utilisant des injections Web sophistiquées contre ses victimes », ajoute Diaz.

L’argent dérobé a été transféré sur les comptes des cybercriminels d’une manière intéressante et inhabituelle. Ils semblent avoir utilisé plusieurs groupes de mules ayant créé des comptes spécialement dédiés à la réception de l’argent volé. Lequel a été retiré via des distributeurs automatiques. Un groupe semble ainsi avoir été responsable du transfert de sommes comprises entre 40 000 et 50 000 euros, contre entre 15 000 et 20 000 euros pour un second, et moins de 2 000 euros pour un troisième. « Les différences de montants confiés aux différents groupes peuvent indiquer des niveaux de confiance différents », explique Diaz. « Nous savons que les membres de ces organisations trompent souvent leurs acolytes. Les dirigeants de l’opération Luuuk pourraient être en train d’essayer de lutter contre ces pertes en mettant en place différents groupes avec différents niveaux de confiance. »

Kasperky Lab s’est engagé dans une vaste enquête sur les activités de ces cybercriminels parce que la complexité de l’opération laisse à penser qu’elle se poursuit, malgré l’arrêt d’un serveur de contrôle. Et les chercheurs de relever que les outils utilisés pour voler des fonds peuvent être détectés par des technologies de prévention de fraude. Et cela alors, même que les criminels impliqués semblent professionnels.

Adapté de l’anglais par la rédaction.