Une vulnérabilité critique compromet le botnet SpyEye

3
122

Scoop du week-end ! En effet, quelle ironie dans cette situation ! Il semblerait que le créateur du botnet SpyEye n’ai pas suffisamment de connaissances du côté de la sécurité PHP. Une vulnérabilité critique a été découverte et publiée sur le Net.

Il s’agit d’une faille de type Blind SQL injection découverte par S4(uR4 (r00tw0rm.com) dans un des scripts composant le botnet SpyEye.

Détails de l’exploit

Vuln type : Blind SQL injection
Vuln script : frm_cards_edit.php
Affected version : ALL
May use any botnet from : https://spyeyetracker.abuse.ch/monitor.php

SpyEye c’est quoi ?

W32/SpyEye

Alias : Voici la liste des alias des variantes de SpyEye découvertes depuis février 2011 :
Trojan-Spy.Win32.SpyEyes.evg (Kaspersky)
PWS-Spyeye.m (McAfee)
Trojan:Win32/EyeStye.H (Microsoft)
A variant of Win32/Spy.SpyEye.CA (NOD32)
W32/Malware.QOOC (Norman)
Trojan.Zbot (Symantec)
Mal_Xed-24 (Trend Micro)

Bref résumé

SpyEye est un cheval de Troie qui tente de dérober des informations sensibles relatives aux banques en ligne et aux transactions par cartes de crédit à partir d’une machine infectée. SpyEye est vendu par son auteur dans un format facile à configurer, sous forme de kit, qui contient le fichier exécutable du malware lui-même, le centre de commandement et de contrôle (C & C) du serveur ainsi que la configuration de base pour cibler les sites bancaires. Dès le début 2011, SpyEye a fusionné avec les fonctionnalités du botnet Zeus, qui a été vendu à l’auteur SpyEye, et est maintenant de plus en plus sophistiqué en ce qui concerne les caractéristiques et les fonctionnalités offertes.

SpyEye peut potentiellement utiliser un certain nombre de techniques en vue d’obtenir les identifiants d’utilisateurs de banque en ligne, généralement en employant une attaque de type phishing en présentant une page de connexion truquée, qui est généralement basée sur la page de connexion originale de la banque, mais qui a des champs supplémentaires et du code JavaScript inséré à l’intérieur, afin d’obtenir les informations d’identification qui ne font normalement pas partis du processus de connexion, telles que les codes PIN. Une copie de la requête HTTP POST est envoyée au serveur C & C de SpyEye, à partir de laquelle un attaquant peut extraire les informations d’identification bancaire ou de carte de crédit, et commencer à mener leurs propres opérations frauduleuses.

Télécharger l’exploit sur PasteBin.

3 Commentaires

Les commentaires sont fermés.