Infos

Un nouveau cheval de Troie attaque les services bancaires et de commerce en ligne

Le cheval de Troie Beta Bot, développé pour l’interception des informations financières, a élargi au cours de ces derniers mois le spectre de ses cibles et s’est enrichi d’un large éventail de moyens d’autodéfense.

D’après les données de RSA Security, ce cheval de Troie a débuté sa carrière au mois de janvier dernier en tant que bot HTTP et ce n’est que dans les versions suivantes que la fonction de cheval de Troie bancaire est apparue. La nouvelle version de Beta Bot fonctionne toujours en réponse à des commandes envoyées depuis un serveur distant et envoie au destinataire les données volées conservées dans MySQL. Ceci étant dit, les experts confirment que cette version est plus omnivore. Le programme malveillant vole, dans les formulaires en ligne, les données d’accès aux comptes en banque et aux systèmes de paiement, aux réseaux sociaux, aux magasins en ligne, aux services de stockage en ligne, aux services de messagerie, de jeux et de FTP ainsi qu’aux services d’enregistrement de domaines. De plus, Beta Bot est en mesure, via une commande, de modifier les paramètres DNS sur l’ordinateur infecté (farming), de charger des fichiers via Internet, de réaliser des attaques DDoS et de diffuser ses copies via Skype ou des clés USB. 

Selon les informations de RSA, la protection de cette nouvelle version du cheval de Troie bancaire est étoffée et moderne. Beta Bot reconnaît les tentatives d’exécution dans un environnement virtuel ou bac à sable et il est capable de désactiver les logiciels antivirus et les modes d’installation des mises à jour. En modifiant les paramètres DNS, le programme malveillant bloque en fait l’accès aux sites de sécurité et renvoie l’utilisateur vers une adresse IP définie par le gestionnaire du bot. Il n’hésite pas non plus à se débarrasser de ses concurrents sur l’ordinateur infecté : il arrête leurs processus et empêche l’insertion de code dans les processus système.

L’astuce développée par les auteurs du cheval de Troie pour augmenter leurs privilèges dans le système infecté est intéressant. Via l’ingénierie sociale, Beta Bot amène l’utilisateur à lancer le mécanisme de contrôle des comptes utilisateur Windows et à octroyer les autorisations requises pendant le dialogue avec le système. Ce processus a été détaillé dans le le blog G Data. Les experts indiquent également que le programme malveillant utilise la géolocalisation et est capable d’afficher des messages trompeurs en 10 ou 12 langues.

D’après les résultats de l’analyse de RSA, Beta Bot se distingue des autres chevaux de Troie bancaires par le volume du code binaire et l’absence de prise en charge des modules externes. Le cheval de Troie est administré via une interface Internet ; son centre de commande migre en permanence, toutefois, les gestionnaires du bot semblent préférer les services d’hébergement aux Pays-Bas, en Inde ou en Lituanie.

Poussés par les avancées dans les technologies de protection, les auteurs de chevaux de Trois bancaires continuent de perfectionner leurs créations et de rendre leurs fonctions plus complexes. Au mois d’avril dernier, des preuves curieuses de la mise à jour de Shylock, un cheval de Troie qui vole les données bancaires principalement via la méthode dite man-in-the-browser (homme dans le navigateur), ont été découvertes. Après sa phase d’amélioration, ce programme malveillant a commencé à ignorer les cibles qui n’étaient pas rentables ou qui étaient bien protégées et la réorganisation de son infrastructure de commande a permis aux gestionnaires de réduire les temps morts lorsque les charges étaient élevées. Ce mois ci, nous avons pris connaissance de l’apparition d’un nouveau toolkit créé sur la base de ZeuS et doté d’un panneau d’administration. Ce package était vendu via Facebook et d’autres réseaux sociaux.

Source: http://blogs.rsa.com/new-commercial-trojan-inth3wild-meet-beta-bot/

Un nouveau cheval de Troie attaque les services bancaires et de commerce en ligne

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception