Symantec, actualmente divizie Broadcom Software, a avertizat recent că Bluebottle, un grup de infractori cibernetici specializat pe atacarea ţintelor din sectorul financiar, şi-a intensificat atacurile împotriva sectorului financiar, mai ales asupra băncilor din ţări francofone. Grupul foloseşte intens instrumente duale şi malware.
Vectorul iniţial de atac este necunoscut, însă cele mai vechi fişiere periculoase descoperite în reţelele victimelor aveau nume franţuzeşti legate de tematica bancară. Cel mai probabil acestea au acţionat ca momeli.
Atacatorii au folosit şi un set de malware, cel mai probabil cu obiectivul de a dezamorsa produsele de securitate din reţelele victimelor. Acest malware consta din două elemente, un DLL de controlling care citeşte o listă de procese dintr-un fişier terţ, şi un driver “helper” controlat de primul driver şi folosit la încheierea proceselor din listă.
Obiectivul pe termen scurt Bluebottle pare să constea în persistenţă şi furt de credenţiale. Infractorii au folosit diverse tehnici de furt credenţiale. Ca mutare complementară, ei au implementat instrumentul de testare a penetrării reţelei SharpHound.
Până acum au fost compromise trei instituţii financiare diferite din trei ţări africane, în toate cele trei organizaţii fiind infectate mai multe maşini.
Ca urmare a eficienţei atacurilor, Symantec avertizează că este puţin probabil ca Bluebottle să înceteze atacurile. Grupul pare în continuare axat pe ţări francofone din Africa, astfel că instituţiile financiare din aceste ţări, şi nu numai, ar trebui să rămână în stare de alertă maximă. Atacatorii par să fie vorbitori de franceză, aşa că posibilitatea ca ei să-şi extindă activitatea către naţiuni vorbitoare de franceză din alte regiuni ale globului nu poate fi exclusă.