Le cheval de Troie bancaire Bolek est l’un des successeurs du tristement célèbre trojan bancaire Carberp, ciblant les systèmes Windows 32-bits et 64-bits. Il se répand actuellement sur Internet.
Lorsque le code source du trojan bancaire Carberp a été divulgué en ligne, de nombreux acteurs de la cybercriminalité ont développé leurs propres variantes du redoutable malware. Ce processus a permis une évolution significative de la menace et a augmenté sa sophistication à travers le temps. Aujourd’hui, l‘un de ses successeurs récemment repéré est le cheval de Troie bancaire Bolek, une menace polymorphique qui cible les systèmes Windows 32-bits et 64-bits.
Le trojan bancaire Bolek implémente des fonctionnalités avancées appartenant à d’autres logiciels malveillants bancaires, et il est capable de voler les identifiants de connexion, d’effectuer des injections Web, de réaliser des captures d’écran avec une cadence importante, d’exécuter des fonctions de keylogging, et d’intercepter le trafic au sein des navigateurs Microsoft Internet Explorer, Chrome, Opera et Mozilla Firefox. Il s’attaque directement aux librairies et aux fonctions internes des logiciels.
“Il est conçu pour effectuer des injections Web, de l’interception de trafic, des prises de captures d’écran, d’exécution de fonctions de keylogging et du vol d’informations de connexion pour les applications de banque en ligne. Il peut également établir des connexions RDP inversées et lancer un serveur proxy SOCKS5 local ainsi qu’un serveur HTTP afin d’exécuter des commandes CMD“, a rapporté une analyse publiée par le cabinet spécialisé Doctor Web.
Le trojan bancaire Bolek a en effet hérité d’un certain nombre de caractéristiques du trojan Zeus, et il peut lancer un serveur HTTP local ainsi qu’un proxy SOCKS5 pour effectuer des commandes CMD sur la machine infectée. Il exploite les processus légitimes svchost.exe et winlogon.exe pour camoufler ses activités malveillantes. Bolek a emprunté un système de fichiers virtuels à Carberp et utilise une évolution du mécanisme d’injection Web Jupiter initialement mis en œuvre dans le cheval de Troie Zeus. Le malware utilise JSON pour le partage de données.
Ce dernier peut communiquer comme un botnet avec le serveur C&C via des requêtes HTTP POST chiffrées avec AES CBC 128. Toutes les données transmises sont par ailleurs chiffrées avec un algorithme spécial et sont ensuite compressées en utilisant la bibliothèque zlib. Selon les experts de la société de sécurité Phishme, chaque fois que le logiciel malveillant infecte un PC, il crée un dossier nommé au hasard dans le répertoire Windows System32 et y place les fichiers suivants :
- Un .exe nommé de façon aléatoire
- Un .dll spécifique
- Un fichier avec un nom aléatoire.
La plupart des exécutables sélectionnés et copiés par ce malware sont identifiés par VirusTotal comme bénins et inoffensifs. Il embarque le password stealer Godzilla Loader :
Une autre caractéristique intéressante mise en œuvre par le cheval de Troie bancaire Bolek est sa capacité d’auto-propagation d’une machine à une autre avec un mécanisme de type ver. Le logiciel malveillant pourrait également être mis à jour à distance par les opérateurs, permettant de personnaliser son comportement en fonction de leurs besoins du moment.
L’échantillon de logiciels malveillants a principalement été détecté dans des banques russes (principalement ciblées), mais il a également été repéré dans des attaques contre les utilisateurs en Pologne.
Les commentaires sont fermés.