CoreBot est devenu un banker à part entière

Les experts département de sécurité de l’information X-Force de la société IBM sont arrivés à une triste conclusion : leurs prévisions sur CoreBot se sont matérialisées, et très vite. En l’espace de quelques jours seulement, ce nouveau malware Windows a élargi ses fonctions et s’est enrichi d’une multitude de modules prévus pour mener des attaques efficaces contre des titulaires de comptes en banque.

X-Force a publié les résultats de son analyse de CoreBot à la fin du mois dernier. A l’époque, l’étude indiquait que ce Trojan ne possédait que les fonctions de base caractéristiques des voleurs d’informations : il était capable de voler les mots de passe mémorisés dans les navigateurs, les clients FTP et de messagerie les plus utilisés, de rechercher les comptes utilisateur de services de messagerie en ligne et de porte-monnaie contenant des cryptodevises ainsi que les certificats personnels et les données personnelles dans différentes applications de bureau. CoreBot était installé dans le système des victimes à l’aide d’un dropper.

Malgré le côté trivial de la découverte, les chercheurs n’ont pas hésité à partager leurs craintes : ce petit nouveau possède un grand potentiel. « La caractéristique la plus intéressante de CoreBot réside au niveau du système de plug-ins qui lui confère une architecture modulaire. Il peut ainsi élargir ses fonctions sans difficultés. Le malware télécharge des plug-ins depuis le serveur de commande après s’être fermement implanté dans le système. Ensuite, il charge des plug-ins à l’aide de la fonction plugininit que se trouve dans la bibliothèque DLL du plug-in ». Les experts ont également découvert un algorithme DGA désactivé qui permet d’établir un canal de communication alternatif avec le serveur de commande en cas de blocage des domaines principaux.

Jeudi dernier, l’équipe de X-Force a à nouveau sonné l’alarme : les auteurs de CoreBot ont lancé de nouveaux modules qui élargissent encore les fonctions du malware et en font un banker à part entière. Désormais, le Trojan est capable d’intercepter dynamiquement les données dans IE, Firefox et Google Chrome ainsi que dans des formulaires en ligne. Il peut garantir un accès VNC à ses opérateurs, surveiller les accès de la victime au système de banque électronique, modifier des pages Web et intercepter les données lors des sessions bancaires.

D’après les résultats d’une nouvelle analyse, la version actualisée de CoreBot repose sur une liste de 55 URL qui visent des banques américaines, canadiennes et britanniques. Lorsque la victime ouvre une session sur un service Internet qui intéresse le Trojan, le malware avertit son contrôleur et utilise la fonction d’attente pour la victime afin de donner au pirate le temps de réaliser la transaction frauduleuse.

« A ce moment, l’individu malintentionné peut utiliser le cookie de la session pour intercepter les initiatives et lancer une transaction ou modifier les paramètres de demande d’un virement bancaire. Au final, l’argent est envoyé sur un compte contrôlé par l’opérateur du Trojan » expliquent les experts.

Le nombre d’exemplaires de CoreBot est encore restreint, mais d’après les experts son augmentation ainsi que la poursuite de l’évolution du malware ne sont qu’une question de temps. Ce Trojan n’a pas encore fait son apparition sur le marché noir, mais cette situation pourrait changer à tout moment.

Source: ZDNet

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *