Emotet Malware – Nouveau trojan bancaire compatible HTTPS

3
245

Les chercheurs de Trend Micro ont découvert un nouveau malware bancaire, nommé Emotet, capable de sniffer les informations bancaires des victimes, même via une connexion sécurisée en HTTPS. La prochaine menace mondiale ?

Voila encore une nouvelle raison de se méfier des spam bancaires (faux virements ou factures, demande de renseignements, etc) car ce nouveau malware pourrait pourrait bien être l’un des programmes malveillant le plus intelligemment conçu, ciblant sur les informations financières des victimes infectées.

Tout d’abord, il faut savoir que la plupart des chevaux de Troie ciblant les informations financières le font en injectant ou en modifiant les formulaires bancaires présents sur les sites officiels des banques, le tout en agissant sur le navigateur Web de la victime.Mais ce nouveau programme malveillant nouvellement découvert spécialisé dans le vol de données bancaires possède une approche totalement différente et tire parti des API de réseau des navigateurs Web pour renifler le trafic sortant (HTTP & HTTPS).

La nouvelle menace a été nommée Emotet par les chercheurs en sécurité de la société Trend Micro, qui a récemment analysé les variantes ciblant les clients de plusieurs banques allemandes. Le malware est distribué via des liens malveillants dans des spams mails qui se font passer pour des notifications de virements ou des factures.

Lorsqu’il s’implante sur le système, Emotet télécharge des composants supplémentaires et un fichier de configuration qui contient les URL et d’autres chaînes, puis il va commencer à écouter le trafic réseau de la machine. Les fichiers de configuration analysés visaient principalement les sites bancaires allemands, mais il pourrait y avoir des variantes visant des banques d’autres pays.

La principale composante de Emotet télécharge un fichier DLL et l’injecte dans tous les processus en cours d’exécution sur le système, y compris les navigateurs Web. La librairie a la capacité de surveiller le trafic réseau sortant de ces processus et de chercher des chaînes spécifiées dans le fichier de configuration :

Si les chaînes sont identiques, le malware rassemble les informations en de l’URL accessible et les données envoyées“, ont déclaré les chercheurs de Trend Micro. Le malware enregistre tout le contenu du site, ce qui signifie que toutes les données peuvent être volées et enregistrées.Le composant de DLL peut aussi renifler les données de sessions de navigation chiffrées car il s’accroche directement sur les API réseau utilisés par les navigateurs.

Cette méthode de vol d’informations est beaucoup plus difficile à détecter par les utilisateurs que ceux concernant le phishing ou les champs de formulaire malveillants injectés dans les pages : Les utilisateurs peuvent aller sur leur banque en ligne, sans jamais se rendre compte que l’information est volé“, explique Trend Micro.

Un autre aspect intéressant de Emotet est qu’il crypte les données et les stockent temporairement dans le registre du système. Cela est probablement une autre tentative pour éviter la détection en évitant la création de fichiers sur le système. Selon les données de Trend Micro, le plus grand nombre d’infections Emotet a été détecté en Europe, notamment en Allemagne.

Cependant, les infections Emotet ont également été détectées dans d’autres régions, comme l’AsiePacifique et en Amérique du Nord, ce qui suggère que la menace n’est pas exclusive à une région ou un pays spécifique.

Les commentaires sont fermés.