Début janvier, le centre de commande anti-fraude de RSA détectait plusieurs attaques de Phishing utilisant comme Proxy un réseau de robots IRC dénommé « Storm Botnet. »
Ces attaques ciblaient des établissements bancaires de premier plan du Royaume-Uni à travers deux serveurs Proxy livrant les contenus aux victimes provenant d’un « vaisseau amiral. »
Le réseau de dissimulation – de type « fast-flux » – véhiculant l’attaque était Storm Botnet, permettant notamment une « rotation » fréquente des adresses IP des serveurs de Proxy auxquels accèdent les victimes. Le domaine de Phishing renvoyait en effet à une adresse différente à chaque tentative d’accès et la plage d’adresses IP utilisée par les serveurs de Proxy était relativement étendue.
Dans les attaques Storm, les serveurs de nom sont enregistrés au sein du domaine – et non à « l’extérieur. » Par exemple : si le site de Phishing est hébergé sur www.stormphish.com, le serveur de nom de ce domaine sera ns1.stormphish. com.
Cette structure empêche les services de lutte contre la fraude d’identifier les autres domaines « servis » par le même réseau de Proxy – contrairement à d’autres réseaux d’hébergement (phishing, code malveillant, etc.) où les domaines additionnels peuvent être tracés.
Dans toutes ces attaques, les domaines utilisés étaient tout à fait fiables et conçus dans un format identique pour perpétrer des attaques contre différents établissements bancaires. Pour deux d’entre eux, les domaines étaient très similaires – indiquant clairement une attaque provenant d’un seul groupe.
Jusqu’à présent, le réseau Storm n’avait jamais été associé à des attaques de Phishing ; il connaît une croissance constante par accumulation de plus en plus de robots (« bots ») sans indication précise de leur fonction.
En phase d’activité, le système est généralement associé à des activités de Spam, des attaques DDoS ou de « simples » infections. Il est également resté en sommeil pendant de longues périodes. C’est la première fois que des attaques de Phishing sont clairement liées à – et hébergées par – les ordinateurs du réseau Storm.
Ces attaques démontrent que le réseau Storm Botnet a la capacité de croître pour devenir une menace potentielle de Phishing bien plus importante qu’il n’est aujourd’hui. Dans un scénario défavorable, Storm pourrait en effet devenir l’infrastructure sous-tendant une nouvelle vague d’attaques de Phishing de type fast-flux.
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.