Des chercheurs de la firme de sécurité AVG viennent de publier un livre blanc sur le dangereux Cheval de Troie bancaire Vawtrak. Le rapport montre que la malware, dont l’existence n’est pas récente, s’est doté de nouvelles fonctionnalités qui lui permettent d’envoyer et recevoir des données via des favicons chiffrés, distribués sur le réseau Tor.
Un favicon désigne l’icône dans la barre d’adresse, la barre de titre, les favoris ou dans les onglets de navigateur, qui symbolise le site web visité. Selon Jakub Kroustek (analyse approfondie disponible ici en PDF), chercheur chez AVG, l’échantillon de Vawtrak utiliserait les favicons pour recevoir les mises à jour de ses développeurs. « Cet échantillon de Vawtrak utilise la stéganographie [une sorte de technique de dissimulation] pour cacher les fichiers de mise à jour à l’intérieur des favicons de sorte que les téléchargements ne soient pas suspects ». A-t-il dit. « Chaque favicon est seulement de quelques kilo-octets en taille, mais c’est assez pour transporter un fichier de mise à jour signé numériquement caché à l’intérieur », a-t-il ajouté.
D’après le chercheur, Vawtrak utiliserait aussi le proxy Tor2Web « pour accéder aux serveurs de mises à jour qui sont hébergés sur les services web Tor cachés sans installer un logiciel spécialisé comme Tor Browser ». Par ailleurs, la communication avec le serveur distant se fait via SSL, qui offre davantage de chiffrement.
Le cheval de Troie vise principalement les utilisateurs de banque en ligne. Une fois qu’il a infecté un système, le malware exécute plusieurs actions d’abord pour échapper aux logiciels de sécurité et ensuite pour recueillir les mots de passe des utilisateurs. Il se diffuse via plusieurs biais :
- Drive-by download – e-mail spam et pièces jointes infectées, liens sur sites compromis
- Malware downloader – Comme Zemot ou Chaintor
- Exploit kit – Par exemple via Angler Exploit Kit
Vawtrak contient une protection proactive contre la détection antivirus. Son mécanisme de défense lui permet de détecter tous les antivirus installés et de les désactiver en utilisant le système Windows de politiques de restriction logicielle. Il parvient ensuite à voler les mots de passe des utilisateurs qui sont stockés en ligne ou sur la machine locale par deux méthodes différentes. La première méthode est basée sur la surveillance des données envoyées par un navigateur Web.
Vawtrak surveille en permanence l’utilisateur en enregistrant les frappes de clavier, en prenant des captures d’écran ou encore en enregistrant les actions de l’utilisateur sur le bureau dans une vidéo AVI. La seconde méthode pour voler les mots de passe est fournie par le module de vol de mots de passe Pony. Le malware crée également un accès à distance à la machine d’un utilisateur et communique avec des serveurs distants de commande et de contrôle auxquels il envoie les informations volées et qui lui permettent de recevoir ses mises à jour. Les principales fonctionnalités sont :
- Désactivation des protections antivirus
- Injection au sein des pages Web des navigateurs (y compris sites bancaires)
- Vol des identifiants, certificats SSL, historiques de navigation et cookies
- Surveillance totale de la victime (enregistreur de frappes, captures d’écran et flux webcam)
- Ouvre la machine via un backdoor (VNC, SOCKS)
- Mise à jour automatique en autonome.
Pour infecter de manière persistante la machine de l’utilisateur, le cheval de Troie stocke ses paramètres internes dans un emplacement persistant, comme le registre. Vawtrak opère principalement sur les navigateurs Internet Explorer, Firefox et Google Chrome et les pays les plus touchés par ses campagnes cette année sont la République tchèque, les États-Unis, le Royaume-Uni et l’Allemagne.
Source : AVG
Les commentaires sont fermés.