Le nouveau malware bancaire ultra-sophistiqué « Carberp » défie Zeus
De plus en plus de malwares ciblent Mozilla Firefox
Encore indétectable par 5 des 6 antivirus les plus répandus, il fait des ravages pour piller les comptes en banques en Europe et en Amérique au profit d’un groupe de criminels.
Baptisé « Carberp », il met en action des mécanismes identiques à ceux de Zeus et cible les systèmes et navigateurs les plus populaires, à savoir Windows 7, Vista et XP, Internet Explorer et Mozilla Firefox.
Il serait surtout impitoyable avec ses concurrents. Il cherche, par exemple, à détruire ou à désactiver les autres Trojan pilleurs de comptes, y compris son modèle Zeus.
Ce qui en fait, ironiquement, un anti-virus.
Les spécialistes ne s’accordent pas tous sur ses caractéristiques. Pour certains, il ne s’agit que d’un malware dérivé de Zeus.
Mais plusieurs variantes ont été détectées depuis son apparition, il y a quelques mois. Il a commencé, très confidentiel, sous la forme d’un « malware taxi ». Il ne servait alors qu’à télécharger d’autres malwares génériques.
Mais sa dernière incarnation, plutôt inquiétante (car très sophistiquée) embarque toutes les fonctionnalités d’un Trojan de banque.
“Carperb est différent, Il est très, très sophistiqué” affirme Andreas Baumhof, cofondateur et CTO de TrustDefender spécialiste de la sécurisation de l’authentification bancaire.
Baumhof s’attend à une plus large distribution que Zeus car son adaptation à d’autres pays ne requière qu’une petite modification d’un fichier de configuration.
Selon les spécialistes, Carberp peut aussi contourner les authentifications à double facteur en s’appuyant sur les trojans rivaux, comme Zeus, Gozi, SpyEye pour faire des injections HTML.
Il peut aussi s’installer sans avoir les droits d’administration sur le système cible, rendant inutile la protection par contrôle d’accès sur les dernières versions de Windows. Mais il n’infecte donc que le compte de l’utilisateur identifié.
Le malware disposerait aussi de capacités de détournement de navigateurs sans précédents et serait en mesure de s’accaparer tout le trafic avec internet, y compris les échanges sécurisés en HTTPS et SSL.
Carberp fonctionne sous deux modes “non ciblé” où il collecte tous les mots de passes et identifiants tapés, de préférence lors de connexions sécurisées.
Mais il fonctionne également en “mode ciblé” où il communique aux pirates, en temps réel, les données collectées et modifie les formulaires pour y injecter des champs supplémentaires, comme des détails sur la carte de crédit.
De quoi soulever de sérieuses inquiétudes, notamment auprès des utilisateurs de Firefox qui paye la rançon de sa gloire et devient une des cibles de choix de ce malware d’un genre très évolué.
Source : Developpez.com