Dernièrement, des établissements bancaires ont été visés par des campagnes de Spams portant des liens hypertextes de redirection ou des pièces jointes malicieuses (Word / Excel avec des macros) pour les inciter à installer une nouvelle version du malware « TrickBot ». En effet, ce malware cible les sessions Web en ligne afin de collecter les informations des clients (identités bancaires, contacts, etc …) et également de les spammer. Une fois installé, TrickBot commence à recevoir les ordres d’attaque depuis les serveurs de commande et de contrôle et d’y envoyer les informations piratées en utilisant les requêtes HTTP/HTTPS : « GET » et « POST ».
En outre, TrickBot est capable de se propager dans les réseaux via l’exploitation des serveurs SMB (Server Message Block) et LDAP (Lightweight Directory Access Protocol) vulnérables.
Pour s’en protéger, nous vous conseillons d’être vigilant et de suivre les mesures préventives suivantes :
- Auditer et scanner votre système d’information afin de déterminer les failles puis procéder à les corriger en installant les patchs correctifs depuis les sources officielles.
- Mettre en place des packs de sécurité pour la détection des actions malveillantes, des intrusions (IPS / NIDS) et de contrôle de la bande passante de trafic réseau.
- Mettre à jour vos systèmes d’exploitation, vos navigateurs Web et aussi les solutions anti-virus que vous utilisez.
- Implémenter un système de validation des enregistrements DNS (Domain-Based Message Authentication, Reporting & Conformance : DMARC) pour minimiser la réception des Spams et détecter les tentatives d’usurpation des e-mails.
- Désactiver immédiatement tous les services que vous n’avez pas besoin.
- Pour les solutions Office, désactiver l’exécution des macros sauf celles qui sont signées.
- Vérifier l'authenticité des expéditeurs avant la lecture de chaque message reçu par e-mail ou affiché sur votre mûr de Facebook / Twitter / Instagram et en cas de doute n’y répondez pas, ne cliquez pas sur les liens hypertextes ou les images qu’il contient et supprimer le immédiatement.
- N’enregistrer pas vos logins, mots de passe et vos identifiants bancaires dans les navigateurs web.
- Appliquer des règles de filtrage rigoureuses pour sécuriser l’administration de vos serveurs à distance, l’accès aux partages réseaux et s’assurer de la robustesse des mots de passe des comptes utilisateurs et administrateurs.
- Blacklister les domaines suivants :
- myexternalip.com
- api.ipify.org
- icanhazip.com
- bot.whatismyipaddress.com
- ip.anysrc.net/plain/clientip