Le cheval de Troie bancaire Neverquest se prépare pour les fêtes

D'après les estimations de Kaspersky Lab, le cheval de Troie bancaire sous Windows, qui a eu un faible pour FidelityInvestments, un des principaux fonds mutuel, a infecté des milliers d'ordinateurs à travers le monde et il est capable de provoquer encore plus de dégâts au vu de l'approche des fêtes.

Le rapport des collaborateurs de Kaspersky Lab se penche sur le programme malveillant Neverquest (Trojan-Banker.Win32/64.Neverquest) qui se propage automatiquement et qui est capable de suivre les visites des victimes sur les sites de plus d'une centaine de banques et autres institutions financières. Ce programme malveillant renvoie à ses maîtres les informations d'identification bancaires et autres données personnelles, ce qui leur permet de réaliser des transactions au nom de la victime via la connexion VNC établie par Neverquest.

Serge Golovanov, expert chez Kaspersky Lab, signale que "ce programme malveillant est relativement récent et les individus malintentionnés ne l'utilisent pas encore à pleine capacité. Vu les capacités de Neverquest en terme de diffusion automatique, le nombre d'utilisateurs attaqués pourrait augmenter sensiblement en un bref laps de temps".

 

C'est au mois de juillet de cette année que les chercheurs ont découvert l'existence de ce cheval de Troie bancaire après avoir vu une annonce pour la vente d'un nouveau cheval de Troie sur un forum clandestin. Le vendeur le présentait comme un bot privé capable d'attaquer près de 100 banques américaines via l'insertion d'un code dans les pages de leur site pendant le chargement dans Internet Explorer ou Firefox. 

 

Le module principal de Neverquest est chargé dans le système à l'aide d'un downloader ou d'un dropper. Ces programmes installent un fichier DLL dans le dossier %appdata% sous un nom aléatoire doté de l'extension .DAT et garantissent son lancement automatique. S'il s'agit de l'infection initiale, le programme malveillant lance un serveur VNC lors de son initialisation et envoie une requête au centre d'administration afin d'obtenir un fichier de configuration. Ce fichier chiffré contient un ensemble de codes à insérer dans les navigateurs et la liste des sites bancaires dans les pages desquels il faut implanter les Javascript malveillants. D'après nos experts, cette liste contient les sites de banques et de systèmes de paiement de renommée internationale ainsi que de banques d'Allemagne, d'Italie, de Turquie et d'Inde.

Quand la victime d'une infection entre sur un des sites de la liste, le programme malveillant active le contrôle de la connexion du navigateur avec le serveur. "Les individus malintentionnés peuvent obtenir le nom d'utilisateur et le mot de passe saisis par l'utilisateur et modifier le contenu de la page Internet. Toutes les données que l'utilisateur saisit sur cette page modifiée sont également transmises aux individus malintentionnés" explique Serge Golovanov.  Selon l'expert, les transactions illicites sont réalisées à l'aide d'un serveur SOCKS et d'une connexion à distance à l'ordinateur infecté via le serveur VNC. L'argent volé est transféré sur un compte contrôlé par les individus malintentionnés ou, pour brouiller les pistes, sur le compte d'autres victimes.

 

Serge Golovanov a également remarqué que la liste des banques attaquées par Neverquest pouvait être enrichie. Le fichier de configuration renferme une liste de mots associés à l'activité bancaire tels que «availablebalance», «CheckingAccount», «accountsummary» etc. Dès que le programme malveillant repère un de ses mots sur la page ouverte dans le navigateur, il intercepte son contenu et l'envoie avec l'URL aux individus malintentionnés. Grâce à ces données, ceux-ci peuvent développer du code supplémentaire à implanter dans la page sans entrer dans le code d'origine de la banque. Ce code est ensuite ajouté à la sélection de scripts malveillants du fichier de configuration et la mise à jour est diffusée à tous les ordinateurs infectés.

Parmi les sites attaqués par Neverquest et recensés par Kaspersky Lab, c'est le site fidelity.com qui attire le plus les individus malintentionnés car les clients de ce service possède un large choix dans la gestion de leurs finances. Le vol de ces comptes permet aux opérateurs du programme malveillant de non seulement envoyer de l'argent sur leur compte, mais également de jouer en bourse.

Les mécanismes de diffusion automatique utilisés par Neverquest sont identiques à ceux de Bredolab, un programme malveillant qui a infecté des millions d'ordinateurs à travers le monde. Neverquest récolte les données d'identification de dizaines d'application d'accès à des serveurs FTP. Ces informations sont ensuite utilisées pour diffuser ce programme malveillant à l'aide du kit d'exploitation Neutrino.  Le cheval de Troie est également capable de voler des données dans le client de messagerie de la victime pendant la session SMTP/POP, ce qui permet aux individus malintentionnés de diffuser le dropper Neverquest par message non sollicité. Le troisième mode de propagation du programme malveillant repose sur le vol des informations d'identification sur des réseaux sociaux comme Facebook, Live.com, Twitter et Amazon d'où il sera possible ensuite de diffuser les liens vers les ressources infectées. 

Serge Golovanov nous prévient : "En novembre déjà, nous avons vu dans des forums de pirate des messages sur l'achat de bases d'accès à des comptes en banque et de documents permettant d'ouvrir et de gérer les comptes sur lesquels l'argent volé sera transféré. Pour cette raison, il faut s'attendre à des attaques massives de Neverquest au fur et à mesure que nous nous approchons de la fin de l'année. Ces attaques pourraient provoquer des pertes financières chez les utilisateurs."

http://www.securelist.com/en/analysis/204792315/Online_banking_faces_a_new_threat

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *