Un nouveau cheval de Troie attaque les services bancaires et de commerce en ligne

Le cheval de Troie Beta Bot, développé pour l’interception des informations financières, a élargi au cours de ces derniers mois le spectre de ses cibles et s’est enrichi d’un large éventail de moyens d’autodéfense.

D’après les données de RSA Security, ce cheval de Troie a débuté sa carrière au mois de janvier dernier en tant que bot HTTP et ce n’est que dans les versions suivantes que la fonction de cheval de Troie bancaire est apparue. La nouvelle version de Beta Bot fonctionne toujours en réponse à des commandes envoyées depuis un serveur distant et envoie au destinataire les données volées conservées dans MySQL. Ceci étant dit, les experts confirment que cette version est plus omnivore. Le programme malveillant vole, dans les formulaires en ligne, les données d’accès aux comptes en banque et aux systèmes de paiement, aux réseaux sociaux, aux magasins en ligne, aux services de stockage en ligne, aux services de messagerie, de jeux et de FTP ainsi qu’aux services d’enregistrement de domaines. De plus, Beta Bot est en mesure, via une commande, de modifier les paramètres DNS sur l’ordinateur infecté (farming), de charger des fichiers via Internet, de réaliser des attaques DDoS et de diffuser ses copies via Skype ou des clés USB. 

Selon les informations de RSA, la protection de cette nouvelle version du cheval de Troie bancaire est étoffée et moderne. Beta Bot reconnaît les tentatives d’exécution dans un environnement virtuel ou bac à sable et il est capable de désactiver les logiciels antivirus et les modes d’installation des mises à jour. En modifiant les paramètres DNS, le programme malveillant bloque en fait l’accès aux sites de sécurité et renvoie l’utilisateur vers une adresse IP définie par le gestionnaire du bot. Il n’hésite pas non plus à se débarrasser de ses concurrents sur l’ordinateur infecté : il arrête leurs processus et empêche l’insertion de code dans les processus système.

L’astuce développée par les auteurs du cheval de Troie pour augmenter leurs privilèges dans le système infecté est intéressant. Via l’ingénierie sociale, Beta Bot amène l’utilisateur à lancer le mécanisme de contrôle des comptes utilisateur Windows et à octroyer les autorisations requises pendant le dialogue avec le système. Ce processus a été détaillé dans le le blog G Data. Les experts indiquent également que le programme malveillant utilise la géolocalisation et est capable d’afficher des messages trompeurs en 10 ou 12 langues.

D’après les résultats de l’analyse de RSA, Beta Bot se distingue des autres chevaux de Troie bancaires par le volume du code binaire et l’absence de prise en charge des modules externes. Le cheval de Troie est administré via une interface Internet ; son centre de commande migre en permanence, toutefois, les gestionnaires du bot semblent préférer les services d’hébergement aux Pays-Bas, en Inde ou en Lituanie.

Poussés par les avancées dans les technologies de protection, les auteurs de chevaux de Trois bancaires continuent de perfectionner leurs créations et de rendre leurs fonctions plus complexes. Au mois d’avril dernier, des preuves curieuses de la mise à jour de Shylock, un cheval de Troie qui vole les données bancaires principalement via la méthode dite man-in-the-browser (homme dans le navigateur), ont été découvertes. Après sa phase d’amélioration, ce programme malveillant a commencé à ignorer les cibles qui n’étaient pas rentables ou qui étaient bien protégées et la réorganisation de son infrastructure de commande a permis aux gestionnaires de réduire les temps morts lorsque les charges étaient élevées. Ce mois ci, nous avons pris connaissance de l’apparition d’un nouveau toolkit créé sur la base de ZeuS et doté d’un panneau d’administration. Ce package était vendu via Facebook et d’autres réseaux sociaux.

Source: http://blogs.rsa.com/new-commercial-trojan-inth3wild-meet-beta-bot/

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *