Le cheval de Troie bancaire Dyreza se joue de la protection SSL

Les chevaux de Troie bancaires se sont construits une réputation en tant qu’outils fiables et efficaces pour organiser des cyberattaques visant à voler d’importantes sommes d’argent de manière dissimulée. ZeuS, Carberp et beaucoup d’autres enrichissent leurs créateurs et leurs utilisateurs. Les experts étudient actuellement un nouveau programme malveillant capable de contourner la protection SSL des sessions ouvertes sur les systèmes de transactions bancaires par Internet grâce à la redirection du trafic vers des domaines de substitution.

Le cheval de Troie, dénommé Dyre ou Dyreza, utilise la technique du « browser hooking » (interception des requêtes du navigateur) afin d’intercepter le trafic entre l’ordinateur de la victime et le site Internet cible. Dyreza est capable d’intercepter les sessions dans Google Chrome, Mozilla Firefox et Internet Explorer.
Ce programme malveillant est propagé par l’intermédiaire de messages non sollicités qui imitent souvent des messages d’institutions financières. Bank of America, Natwest, Citibank, RBS et Ulsterbank figurent parmi les cibles de Dyreza. A l’heure actuelle, les experts constatent que ce nouveau programme malveillant s’intéresse particulièrement aux banques britanniques.

Quand le destinataire du message non sollicité ouvre l’archive ZIP jointe malveillante, Dyreza s’installe dans le système et se connecte au serveur de commande. Des experts de la société danoises CSIS spécialisée en sécurité des informations a pu accéder à deux de ces serveurs et ils ont découvert sur l’un d’entre eux un panneau de configuration intégrée pour les « mules » associé à plusieurs comptes lettons. Comme il fallait s’y attendre, la principale fonction de ce nouveau cheval de Troie est le vol des informations d’identification sur des systèmes de transactions bancaires par Internet et autres sites financiers.

Les chevaux de Troie accomplissent cette tâche de différentes manières. Les auteurs de Dyreza ont choisi l’interception des requêtes du navigateur, ce qui leur permet de contourner la protection SSL. Peter Kruse, chercheur chez CSIS, explique : « Quand vous naviguez sur Internet via un navigateur, les auteurs de l’attaque contrôle ce trafic. Ils utilisent la technologie de l’homme du milieu et peuvent ainsi consulter tout ce qu’ils veulent, même le trafic SSL, en clair. Et de la même manière, ils peuvent tenter de contourner la protection à deux facteurs ».

Lorsque l’utilisateur accède au site de l’organisation financière ciblée par le programme malveillant et qu’il tente d’ouvrir une session, le programme malveillant intercepte ses données et les envoie à son opérateur. Rien ne permet à l’utilisateur de se rendre compte de cette interception, ni de la redirection du trafic vers un site de substitution, ni l’absence de chiffrement. Ronnie Tokazowski, de la société PhishMe, qui a également soumis le nouveau cheval de Troie bancaire (dénommé Dyre chez eux) à une analyse, déclare : « C’est bien là le problème. Tout doit être chiffré et rien ne peut jamais être transmis en clair. Cette astuce permet à l’auteur de l’attaque de vous faire croire que vous vous trouvez sur le bon site et que le protocole utilisé est le protocole HTTPS. Mais en réalité, votre trafic est redirigé vers une page créée par les individus malintentionnés. »

« Pour obtenir l’effet recherché de la redirection du trafic, les auteurs de l’attaque doivent pouvoir consulter celui-ci avant son chiffrement. Dans ce cas-ci, ils utilisent la technique du browser hooking. Aucune requête DNS n’est réalisée pour le domaine c1sh Bank of America, ce qui laisse croire que les auteurs de l’attaque ont simplement ajouté ce nom au champ Host: en-tête des requêtes » explique Ronnie Tokazowski.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *