Un malware bancaire prévoyant

Comme le fait remarquer un journaliste de Softpedia, les propriétaires de sites et les développeurs de logiciels ne sont pas les seuls à se préparer à la fin prochaine de SHA-1 : les individus malintentionnés s’y préparent aussi. Des chercheurs de Symantec ont découvert un trojan bancaire doté de deux signatures : une créée selon SHA-1 et l’autre, de réserve selon SHA-2.

Ce malware bancaire est identifié comme une version de Carberp et il est apparu dans des campagnes de spam de faible volume aux Etats-Unis, au Danemark, en Suède, en Israel et en Ethiopie. D’après les experts, il s’agit d’un des premiers cas où un code malveilalnt est signé par deux certificats numériques à la fois.

Les spams détectés par Symantec visent des employés de la comptabilité et contiennent en pièce jointe un document Word avec une macro malveilante. Une fois que celle-ci est activée, le malware est téléchargé sur l’ordinateur de la victime (depuis une adresse IP des îles Maurice).

L’analyse a démontré que le fichier exécutable est signé par deux certificats volés émis récemment qui permettent au malware d’éviter la détection et de conserver l’état d’application signée même si un des certificats était révoqués. De plus, cette astuce permet d’attaquer n’importe quel système Windows, y compris les versions antérieures à XP SP3, qui ne sont pas compatibles avec la norme de chiffrement SHA-2 et qui contiennent de nombreuses vulnérabilités non éliminées.

SHA-1 a perdu toute sa crédibilité l’automne dernier lorsque des chercheurs universitaires ont démontré qu’il était facile d’organiser des attaques contre cet algorithme. D’après de nouvelles exigences imposées aux autorités de certification et aux navigateurs, la prise en charge de SHA-1 aurait du être interrompue au 1er janvier de cette année. Cette initiative a été appuyée par de nombreuses autorités de certification et de nombreux éditeurs, y compris Microsoft, même si de nouveaux certificats SHA-1 sont toujours émis actuellement : la migration complète à SHA-2 pourrait priver de nombreux utilisateurs de l’accès aux ressources Internet. Comme on le voit, cela est un avantage pour les individus malintentionnés même si l’exemple de Carberp a démontré qu’ils étaient capables d’assimiler les nouvelles normes plus vites que certains exploitants de sites.

Fonte: Softpedia

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *