Un nouveau trojan bancaire a émergé de l’underground et menace les terminaux de paiement dans le monde entier. Le malware est nommé vSkimmer Botnet et provient de Russie d’après les dires de McAfee.
L’expert en sécurité Chintan Shah a écrit sur un blog qu’il a découvert, lors de la surveillance d’un forum underground russe, une discussion à propos d’un cheval de Troie disponible à la vente qui est capable de dérober des informations de carte de crédit à partir de n’importe quelle machine sous Windows, y compris lors des transactions financières et des paiements par carte de crédit en ligne.
Le programme malveillant vSkimmer dédié au carding est capable de détecter les lecteurs de cartes sur la machine de la victime et recueillir toutes les informations de Windows afin de les envoyer à un serveur de contrôle à distance, en encodant les communications en Base64 au préalable.
Le malware recueille les renseignements suivants à partir de la machine infectée et les envoient au serveur de contrôle :
- GUID de la machine (dans le Registre)
- Info Locale
- Nom d’utilisateur
- Nom d’hôte
- Version de l’OS
Le malware vSkimmer est présenté comme le successeur du populaire Dexter, un malware financier qui visaient les systèmes dits de type “terminaux de paiement”, sur lesquels sont saisis des données de cartes bancaire lors des ventes.
Dexter est responsable de la perte de près de 80 000 données de cartes de crédit et de la violation de données de cartes de paiement au sein des restaurants Subway en 2012.
Selon des chercheurs en sécurité de McAfee, vSkimemr est apparu dans le forum pirate russe depuis février et il pourrait être un projet en cours. vSkimmer apparaît plus sophistiqué que Dexter, malgré le fait qu’il semble pourtant plus facile à utiliser. C’est un outil avancé permettant de voler des données de cartes de crédit à partir des hôtes Windows.
Exactement comme son prédécesseur Dexter, vSkimmer est complètement indétectable sur la machine compromise. Le malware attend qu’un périphérique USB soit connecté à la machine compromise et une fois détecté, il injecte des programmes malveillants destinés à collecter les données depuis le périphérique amovible.
“Avec vSkimmer, vous pouvez également capturer les 2 pistes de données stockées sur la bande magnétique des cartes de crédit. Cette piste stocke toutes les informations de la carte, y compris le numéro de carte. “
Le numéro de carte est stocké sur la piste 2, ainsi que le code à trois chiffres (le CVV) et la date d’expiration. En outre, ce sont toutes les informations nécessaires pour utiliser le carte pour une transaction.
VSkimmer a démontré le grand intérêt de la cybercriminalité vis-à-vis des institutions du secteur paiements. Ces dernières ont déjà été attaquées dans le passé par des codes malveillants comme Zeus et SpyEye. La fraude financière est en pleine évolution et les chevaux de Troie bancaires ont le vent en poupe au sein de la communauté underground internationale. “Ce botnet est particulièrement intéressant car il vise directement les terminaux de paiement fonctionnant sous Windows“, explique Shah, “j’ai trouvé très intéressant le fait que l’offre de programmes malveillants dans l’underground est en constante augmentation et que leur modèle de vente est en train d’atteindre un niveau d’excellence jamais vu jusqu’alors … nous faisons face à des temps difficiles“.