Un cheval de Troie à l’assaut de la deuxième ligne de défense des banques

Les experts de Trusteer ont détecté une nouvelle attaque du cheval de Troie Tatanga (http://www.trusteer.com/blog/tatanga-attack-exposes-chiptan-weaknesses). Ces attaques qui visent à intercepter les codes à usage unique créés à l’aide du générateur de code TAN personnel exploitent l’ingénierie sociale.

Les codes TAN (abréviation anglaise de « numéro d’autorisation de transaction) interviennent dans les services bancaires par Internet afin d’offrir une protection supplémentaire contre les escroqueries lors de la réalisation de transactions. Il s’agit de codes à usage unique créés pour chaque transaction. La saisie du code permet de confirmer l’authenticité de la personne qui a ouvert la session dans le système et donne le feu vert à la banque pour exécuter la transaction. Les banques disposent d’une multitude de méthodes de confirmation des transactions à l’aide de codes à usage unique. Ainsi, en Allemagne, les méthodes les plus plébiscitées sont le mTAN (le client reçoit le code dans un SMS) ou le chipTAN, système qui suppose que le client possède un générateur de code TAN personnel. Ce générateur produit un code à usage unique sur la base d’une image qui clignote sur la page d’accueil du site de services bancaires et qu’il lit directement à l’écran.

Il va de soi qu’un individu malintentionné pourrait, grâce à une attaque de phishing, obtenir les données d’identification de l’utilisateur et le code TAN. Toutefois, ce code n’est valable que pour une seule transaction et qui plus est, le voleur doit se dépêcher car ce code n’est valable que pour une brève période et il doit agir de telle sorte que la victime ne détecte pas le vol. Les auteurs d’attaques de phishing ont résolu le problème à l’aide de chevaux de Troie capables de remplacer au vol les pages des services bancaires grâce à la méthode des injections html et d’exploiter ces données au bénéfice de leurs auteurs (attaque MItB ou « homme dans le navigateur »).

La famille Tatanga (Trojan-Banker.Win32.Tatag dans le classement de Kaspersky Lab), apparue au début de l’année dernière, est la représentante la plus marquante de ce type de cheval de Troie. Selon les analyses des experts de la société espagnole S21sec, Tatanga http://securityblog.s21sec.com/2011/02/tatanga-new-banking-trojan-with-mitb.html intègre une fonction MitB, exploite la technologie de code de dissimulation de l’activité, est capable de bloquer à distance les logiciels antivirus, fonctionne dans la grande majorité des navigateur, est compatible avec Windows et ne supporte pas la concurrence. Ce programme malveillant a une préférence pour les clients des banques européennes en général et allemandes en particulier.

Au mois de mai Trusteer a détecté une attaque de Tatanga qui demandait aux victimes, au nom de la banque, d’envoyer le code TAN qu’ils avaient reçu par SMS (http://www.trusteer.com/blog/tatanga-trojan-bypasses-mobile-security-steal-money-online-banking-users-germany). Cette fausse requête était justifiée par une prétendue vérification du système d’authentification à deux facteurs réalisée par la banque. La version du programme malveillant découverte au début du mois de septembre exploite la même idée, mais le texte allemand placé sur la fausse page fournissait des instructions très précises que la victime devait suivre pour créer un mot de passe unique pour une transaction d’essai à l’aide du générateur de code TAN personnel. La victime est invitée à saisir ce code dans un formulaire en ligne, ce qui permet à Tatanga de réaliser la transaction frauduleuse à l’insu de la victime. Afin que le client ne remarque pas la perte, le programme malveillant modifie les informations relatives au solde disponible envoyées par la banque à la fin de la session.

Tatanga Attack Exposes chipTAN Weaknesse
http://www.trusteer.com/blog/tatanga-attack-exposes-chiptan-weaknesses

Tatanga: a new banking trojan with MitB functions
http://securityblog.s21sec.com/2011/02/tatanga-new-banking-trojan-with-mitb.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *