Un groupe criminel francophone nommé OPERA1ER a réussi plus de 30 cyber-attaques contre des organisations de télécommunications et des banques à travers l’Afrique, l’Asie et l’Amérique latine, volant plus de 30 millions de dollars sur quatre ans, selon des chercheurs en sécurité.
Les vols commencent par des e-mails ciblés qui incitent le personnel de ces entreprises à exécuter des logiciels malveillants de porte dérobée, des enregistreurs de frappe et des voleurs de mots de passe, selon l’équipe de renseignements sur les menaces de Group-IB, en collaboration avec le centre de coordination CERT de la société de télécommunications française Orange.
Les escrocs utilisent les informations d’identification volées de ces logiciels malveillants pour obtenir des informations d’identification de niveau administrateur pour les contrôleurs de domaine Windows sur le réseau et les applications back-end des banques telles que leurs clients de messagerie SWIFT, que les institutions financières utilisent pour envoyer et recevoir les détails des transactions les unes des autres.
Après l’intrusion initiale, les opérateurs furtifs et fluides utilisent des outils tels que Cobalt Strike et Metasploit pour maintenir la persistance et rester sur le réseau pendant trois à 12 mois, déplaçant sournoisement l’argent des gens entre les comptes avant de finalement retirer des fonds du guichet automatique.
Le gang n’a déployé aucun logiciel malveillant sur mesure, et a plutôt utilisé du code open source ainsi que des outils qu’ils pouvaient trouver gratuitement sur le dark web.
