Infos

Un cheval de Troie à l’assaut de la deuxième ligne de défense des banques

Les experts de Trusteer ont détecté une nouvelle attaque du cheval de Troie Tatanga (http://www.trusteer.com/blog/tatanga-attack-exposes-chiptan-weaknesses). Ces attaques qui visent à intercepter les codes à usage unique créés à l’aide du générateur de code TAN personnel exploitent l’ingénierie sociale.

Les codes TAN (abréviation anglaise de « numéro d’autorisation de transaction) interviennent dans les services bancaires par Internet afin d’offrir une protection supplémentaire contre les escroqueries lors de la réalisation de transactions. Il s’agit de codes à usage unique créés pour chaque transaction. La saisie du code permet de confirmer l’authenticité de la personne qui a ouvert la session dans le système et donne le feu vert à la banque pour exécuter la transaction. Les banques disposent d’une multitude de méthodes de confirmation des transactions à l’aide de codes à usage unique. Ainsi, en Allemagne, les méthodes les plus plébiscitées sont le mTAN (le client reçoit le code dans un SMS) ou le chipTAN, système qui suppose que le client possède un générateur de code TAN personnel. Ce générateur produit un code à usage unique sur la base d’une image qui clignote sur la page d’accueil du site de services bancaires et qu’il lit directement à l’écran.

Il va de soi qu’un individu malintentionné pourrait, grâce à une attaque de phishing, obtenir les données d’identification de l’utilisateur et le code TAN. Toutefois, ce code n’est valable que pour une seule transaction et qui plus est, le voleur doit se dépêcher car ce code n’est valable que pour une brève période et il doit agir de telle sorte que la victime ne détecte pas le vol. Les auteurs d’attaques de phishing ont résolu le problème à l’aide de chevaux de Troie capables de remplacer au vol les pages des services bancaires grâce à la méthode des injections html et d’exploiter ces données au bénéfice de leurs auteurs (attaque MItB ou « homme dans le navigateur »).

La famille Tatanga (Trojan-Banker.Win32.Tatag dans le classement de Kaspersky Lab), apparue au début de l’année dernière, est la représentante la plus marquante de ce type de cheval de Troie. Selon les analyses des experts de la société espagnole S21sec, Tatanga http://securityblog.s21sec.com/2011/02/tatanga-new-banking-trojan-with-mitb.html intègre une fonction MitB, exploite la technologie de code de dissimulation de l’activité, est capable de bloquer à distance les logiciels antivirus, fonctionne dans la grande majorité des navigateur, est compatible avec Windows et ne supporte pas la concurrence. Ce programme malveillant a une préférence pour les clients des banques européennes en général et allemandes en particulier.

Au mois de mai Trusteer a détecté une attaque de Tatanga qui demandait aux victimes, au nom de la banque, d’envoyer le code TAN qu’ils avaient reçu par SMS (http://www.trusteer.com/blog/tatanga-trojan-bypasses-mobile-security-steal-money-online-banking-users-germany). Cette fausse requête était justifiée par une prétendue vérification du système d’authentification à deux facteurs réalisée par la banque. La version du programme malveillant découverte au début du mois de septembre exploite la même idée, mais le texte allemand placé sur la fausse page fournissait des instructions très précises que la victime devait suivre pour créer un mot de passe unique pour une transaction d’essai à l’aide du générateur de code TAN personnel. La victime est invitée à saisir ce code dans un formulaire en ligne, ce qui permet à Tatanga de réaliser la transaction frauduleuse à l’insu de la victime. Afin que le client ne remarque pas la perte, le programme malveillant modifie les informations relatives au solde disponible envoyées par la banque à la fin de la session.

Tatanga Attack Exposes chipTAN Weaknesse
http://www.trusteer.com/blog/tatanga-attack-exposes-chiptan-weaknesses

Tatanga: a new banking trojan with MitB functions
http://securityblog.s21sec.com/2011/02/tatanga-new-banking-trojan-with-mitb.html

Un cheval de Troie à l’assaut de la deuxième ligne de défense des banques

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception