“Mousetrap Trojan” – De nouveaux chevaux de Troie bancaires

4
60

Un nouveau script télécharge un applet, qui télécharge lui-même un trojan téléchargeur, qui télécharge ensuite un trojan bancaire, qui télécharge… la spirale du mal à l’état pur. Voici la dernière découverte des chercheurs de chez BitDefender !

Un nouveau Trojan bancaire joue les gros bonnets de la mafia en évitant la police grâce à une complexe chaine de commandes, tout en préparant une série de téléchargements et d’installations à votre insu, afin de faire sauter votre compte bancaire, le tout en esquivant soigneusement votre antivirus.

Cette nouvelle vague de trojans a débuté avec des applets Java injectés au sein de sites populaires, avec pour but d’infecter le plus de visiteurs possibles. L’applet malveillant, Trojan.Downloader.Java.OpenConnection.BA,sous les traits d’un lecteur flash Adobe, préfixe les fichiers html sains afin d’assurer son exécution lors de l’ouverture de la page piratée. Une fois, exécuté, l’applet télécharge et installe un autre fichier exécutable malveillant sur la machine de l’internaute.

Les attaquants utiliseraient des vulnérabilités de type Zero-day via des applications de blogging ou la technique d’attaque par « force-brute » pour récupérer des mots de passe et ajouter leur code dans le fichier.

Le fichier téléchargé (Trojan.Generic.KD.218227), écrit dans Visual Basic et packé avec UPX est sauvegardé dans un emplacement disponible en écriture sur la machine de la victime, sous le nom temp_flash_file.phx. Il télécharge et installe un trojan bancaire (codé en dur dans le téléchargeur) à partir d’une liste d’une douzaine de liens qui mènent à d’autres trojans bancaires.

Pour s’assurer du lancement automatique, le trojan crée un raccourci vers lui-même dans “%Start Menu%\Programs\Startup”, sans nom de fichier, avec une extension « .lnk ». A chaque fois que le système démarre, tous les programmes avec des raccourcis ajoutés dans ce dossier sont aussi automatiquement lancés … en incluant le trojan bancaire.

Une fois dans le système, le trojan bancaire se met à jour depuis une seconde liste de liens. La mise à jour se dissimule dans différents emplacements, car si l’un des deux était détecté, l’autre resterait ainsi accessible.

Biens entendu, les emplacements dans la seconde liste peuvent être accessibles pour le malware. Mais ne pas pouvoir y accéder directement rend la tache plus difficile à un antivirus pour remonter à la source du malware.

Par exemple, une fois que l’antivirus a découvert la liste des mises à jour, il peut retracer les liens, les bloquer et les ajouter à ses routines de détection. Mais dans ce cas, il ne détient qu’une seule liste et ne peut accéder aux liens sources pouvant mener à ces trojans bancaires. Cela serait non sans difficulté car une fois que le trojan se télécharge dans la première liste, il s’efface automatiquement, détruisant toute trace de son passage.

Les attaquants ont sorti l’artillerie lourde pour créer un tel arsenal. Mais générer un trojan aussi complexe possède quelques avantages : le premier est que cela empêche toute remontée à la source et le second est que cela met à l’abri le fruit de longues heures de travail et d’écriture de code nécessaires à la fabrication de ce malware.

Un antivirus pourrait faire voler en éclat ce travail en quelques secondes, en simplement ajoutant les signatures de ce malware à sa base virale. Cependant les compresseurs et les mises à jour leur permettent de contourner les signatures génériques. Et au cas où cela se produit, ils n’auront besoin que de modifier leur compresseur pour pouvoir réutiliser le même morceau de malware. Si les emplacements de mise à jour étaient identifiés, ça ne serait pas un souci pour ces escrocs, puisqu’ils n’hébergent pas le malware sur leurs serveurs mais sur les sites corrompus, et qui peuvent être remplacés très facilement.

Le trojan bancaire envoie à ses victimes un formulaire de connexion et leur demande de le remplir. Ainsi les données personnelles renseignées par les internautes imprudents sont interceptées par les escrocs et envoyé à un serveur de contrôle et de commande classant les ordinateurs infectés nominativement, afin d’être utilisés pour de futures « campagnes » malveillantes.

 

Source : BitDefender, Malware City

4 Commentaires

Les commentaires sont fermés.