Salesforce alerte sur le trojan bancaire Dyreza

Jacques Cheminat,
malware Backdoor Rakshasa

Salesforce.com a alerté ses clients sur l’existence d’un trojan bancaire Dyreza. Ce malware était déjà impliqué dans plusieurs attaques contre des établissements, mais il semble étendre maintenant sa portée au SaaS.

Le spécialiste du CRM en mode SaaS a posté un message pour avertir ses clients d’une menace concernant un malware nommé Dyreza ou Dyre. « Le 3 septembre dernier, un de nos partenaires sécurité a indiqué que le malware Dyre ou Dyreza qui vise généralement les clients des grandes institutions financières, ciblerait maintenant les utilisateurs de Salesforce. » L’éditeur ajoute n’avoir aujourd’hui « aucune preuve que des clients aient été touchés par ce malware, mais nous poursuivons notre enquête ».

Dyreza ou Dyre est un petit nouveau dans les trojans bancaires et il n’a pas encore la maturité de malware plus anciens comme Caberp ou Zeus. Il dispose néanmoins de capacités intéressantes, mais désagréables. En effet, le logiciel s’installe via un clic sur une pièce jointe dans un spam et une fois la machine infectée, il se connecte à un serveur et attend que la victime se connecte à un site bancaire ou dans le cas présent à son compte Salesforce. Il utilise une technique dite de browser hooking. Selon, Peter Kruse, analyste au CSIS security group interrogé par nos confrères de Threatpost, « le trafic est contrôlé par les assaillants avec une approche de type MITM (man in the middle). Ils sont capables de tout lire y compris des flux SSL et tenter de contourner l’authentification à double facteur. » La différence avec le trojan Dyreza ou Dyre est qu’il s’éloigne de son pré carré qui est la banque pour s’aventurer sur les terres du SaaS et plus exactement de Salesforce.

Dans son communiqué, Salesforce indique que le malware ne profite pas d’une vulnérabilité dans les systèmes de l’éditeur. Ce dernier émet quelques recommandations comme vérifier et restreindre des IP afin de forcer la connexion via le VPN ou le réseau de l’entreprise, contrôler que Dyreza est bien référencé dans la base de données des antivirus, et enfin intégrer l’authentification à double facteur.

Crédit image : bloomua – Shutterstock.com

A lire aussi :

Salesforce : 100 millions de dollars pour stimuler les apps mobiles en entreprises

Salesforce monte en gamme dans les wearables technologies