Infos

Le cheval de Troie bancaire Dyreza se joue de la protection SSL

Les chevaux de Troie bancaires se sont construits une réputation en tant qu’outils fiables et efficaces pour organiser des cyberattaques visant à voler d’importantes sommes d’argent de manière dissimulée. ZeuS, Carberp et beaucoup d’autres enrichissent leurs créateurs et leurs utilisateurs. Les experts étudient actuellement un nouveau programme malveillant capable de contourner la protection SSL des sessions ouvertes sur les systèmes de transactions bancaires par Internet grâce à la redirection du trafic vers des domaines de substitution.

Le cheval de Troie, dénommé Dyre ou Dyreza, utilise la technique du « browser hooking » (interception des requêtes du navigateur) afin d’intercepter le trafic entre l’ordinateur de la victime et le site Internet cible. Dyreza est capable d’intercepter les sessions dans Google Chrome, Mozilla Firefox et Internet Explorer.
Ce programme malveillant est propagé par l’intermédiaire de messages non sollicités qui imitent souvent des messages d’institutions financières. Bank of America, Natwest, Citibank, RBS et Ulsterbank figurent parmi les cibles de Dyreza. A l’heure actuelle, les experts constatent que ce nouveau programme malveillant s’intéresse particulièrement aux banques britanniques.

Quand le destinataire du message non sollicité ouvre l’archive ZIP jointe malveillante, Dyreza s’installe dans le système et se connecte au serveur de commande. Des experts de la société danoises CSIS spécialisée en sécurité des informations a pu accéder à deux de ces serveurs et ils ont découvert sur l’un d’entre eux un panneau de configuration intégrée pour les « mules » associé à plusieurs comptes lettons. Comme il fallait s’y attendre, la principale fonction de ce nouveau cheval de Troie est le vol des informations d’identification sur des systèmes de transactions bancaires par Internet et autres sites financiers.

Les chevaux de Troie accomplissent cette tâche de différentes manières. Les auteurs de Dyreza ont choisi l’interception des requêtes du navigateur, ce qui leur permet de contourner la protection SSL. Peter Kruse, chercheur chez CSIS, explique : « Quand vous naviguez sur Internet via un navigateur, les auteurs de l’attaque contrôle ce trafic. Ils utilisent la technologie de l’homme du milieu et peuvent ainsi consulter tout ce qu’ils veulent, même le trafic SSL, en clair. Et de la même manière, ils peuvent tenter de contourner la protection à deux facteurs ».

Lorsque l’utilisateur accède au site de l’organisation financière ciblée par le programme malveillant et qu’il tente d’ouvrir une session, le programme malveillant intercepte ses données et les envoie à son opérateur. Rien ne permet à l’utilisateur de se rendre compte de cette interception, ni de la redirection du trafic vers un site de substitution, ni l’absence de chiffrement. Ronnie Tokazowski, de la société PhishMe, qui a également soumis le nouveau cheval de Troie bancaire (dénommé Dyre chez eux) à une analyse, déclare : « C’est bien là le problème. Tout doit être chiffré et rien ne peut jamais être transmis en clair. Cette astuce permet à l’auteur de l’attaque de vous faire croire que vous vous trouvez sur le bon site et que le protocole utilisé est le protocole HTTPS. Mais en réalité, votre trafic est redirigé vers une page créée par les individus malintentionnés. »

« Pour obtenir l’effet recherché de la redirection du trafic, les auteurs de l’attaque doivent pouvoir consulter celui-ci avant son chiffrement. Dans ce cas-ci, ils utilisent la technique du browser hooking. Aucune requête DNS n’est réalisée pour le domaine c1sh Bank of America, ce qui laisse croire que les auteurs de l’attaque ont simplement ajouté ce nom au champ Host: en-tête des requêtes » explique Ronnie Tokazowski.

Threatpost

Le cheval de Troie bancaire Dyreza se joue de la protection SSL

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception