Infos

CoreBot est devenu un banker à part entière

Les experts département de sécurité de l’information X-Force de la société IBM sont arrivés à une triste conclusion : leurs prévisions sur CoreBot se sont matérialisées, et très vite. En l’espace de quelques jours seulement, ce nouveau malware Windows a élargi ses fonctions et s’est enrichi d’une multitude de modules prévus pour mener des attaques efficaces contre des titulaires de comptes en banque.

X-Force a publié les résultats de son analyse de CoreBot à la fin du mois dernier. A l’époque, l’étude indiquait que ce Trojan ne possédait que les fonctions de base caractéristiques des voleurs d’informations : il était capable de voler les mots de passe mémorisés dans les navigateurs, les clients FTP et de messagerie les plus utilisés, de rechercher les comptes utilisateur de services de messagerie en ligne et de porte-monnaie contenant des cryptodevises ainsi que les certificats personnels et les données personnelles dans différentes applications de bureau. CoreBot était installé dans le système des victimes à l’aide d’un dropper.

Malgré le côté trivial de la découverte, les chercheurs n’ont pas hésité à partager leurs craintes : ce petit nouveau possède un grand potentiel. « La caractéristique la plus intéressante de CoreBot réside au niveau du système de plug-ins qui lui confère une architecture modulaire. Il peut ainsi élargir ses fonctions sans difficultés. Le malware télécharge des plug-ins depuis le serveur de commande après s’être fermement implanté dans le système. Ensuite, il charge des plug-ins à l’aide de la fonction plugininit que se trouve dans la bibliothèque DLL du plug-in ». Les experts ont également découvert un algorithme DGA désactivé qui permet d’établir un canal de communication alternatif avec le serveur de commande en cas de blocage des domaines principaux.

Jeudi dernier, l’équipe de X-Force a à nouveau sonné l’alarme : les auteurs de CoreBot ont lancé de nouveaux modules qui élargissent encore les fonctions du malware et en font un banker à part entière. Désormais, le Trojan est capable d’intercepter dynamiquement les données dans IE, Firefox et Google Chrome ainsi que dans des formulaires en ligne. Il peut garantir un accès VNC à ses opérateurs, surveiller les accès de la victime au système de banque électronique, modifier des pages Web et intercepter les données lors des sessions bancaires.

D’après les résultats d’une nouvelle analyse, la version actualisée de CoreBot repose sur une liste de 55 URL qui visent des banques américaines, canadiennes et britanniques. Lorsque la victime ouvre une session sur un service Internet qui intéresse le Trojan, le malware avertit son contrôleur et utilise la fonction d’attente pour la victime afin de donner au pirate le temps de réaliser la transaction frauduleuse.

« A ce moment, l’individu malintentionné peut utiliser le cookie de la session pour intercepter les initiatives et lancer une transaction ou modifier les paramètres de demande d’un virement bancaire. Au final, l’argent est envoyé sur un compte contrôlé par l’opérateur du Trojan » expliquent les experts.

Le nombre d’exemplaires de CoreBot est encore restreint, mais d’après les experts son augmentation ainsi que la poursuite de l’évolution du malware ne sont qu’une question de temps. Ce Trojan n’a pas encore fait son apparition sur le marché noir, mais cette situation pourrait changer à tout moment.

Source: ZDNet

CoreBot est devenu un banker à part entière

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception