Annonce du 24. mai 2012

SpyEye à la hauteur de son nom

Bien que l'auteur du cheval de Troie bancaire SpyEye populaire semble avoir disparu et le développement du cheval de Troie de base est au point mort, il est encore largement utilisé par les cybercriminels à travers le monde. Et comme SpyEye contient un système de plugin, les opérateurs de réseaux de zombies sont toujours en mesure d'étendre ses fonctionnalités.

Récemment, le G Data SecurityLabs a découvert une version intéressante de SpyEye. Elle utilise les biens connues capacités d'espionnage de SpyEye comme l’acquisition de formulaire, un expéditeur de capture d'écran et un serveur RDP (Remote Desktop Protocol) qui permet aux cybercriminels de contrôler à distance l’ordinateur de la victime. Mais il contient aussi un nouveau plug-in appelé "flashcamcontrol". Grâce à ce plug-in, le cheval de Troie est capable d’envoyer les flux webcams et microphones des utilisateurs vers un serveur contrôlé par les cybercriminels !

Les chevaux de Troie capables de filmer les utilisateurs via leurs webcams sont connus depuis quelques années. Mais jusqu'à présent, les cas publics connus étaient souvent liés à de l’espionnage d’adolescentes.

Quoi de neuf ?
Mais, dans ce cas, les criminels semblent avoir des intérêts différents: ce cheval de Troie semble être construit pour démarrer le support du flux dès que l'utilisateur infecté commence les transactions financières (pour connaître toutes les nouveautés techniques de cette version de SpyEye, consultez le SecurityBlog G Data). Auparavant, les chevaux de Troie enregistraient l'utilisateur dès que l'ordinateur était allumé, ou avaient besoin d’un démarrage manuel par le cybercriminel.

Pourquoi utiliser la vidéo ?
Pourquoi les attaquants souhaitent-ils enregistrer en vidéo les victimes consultant leur compte bancaire en ligne ? L’utilisation de cette technique pour déjouer les protections parait peu probable. Il n’y a que peu d’intérêt à espionner une victime tenant sa carte à code TAN (utilisée par certaines banques pour la validation des opérations bancaires), car au mieux le cybercriminel ne verra que le dos de cette carte.

Mais cette version de SpyEye, en plus de pouvoir capturer le flux vidéo, peut aussi envoyer un flux vers la victime. Ainsi, le pirate pourrait par exemple lancer la webcam et démarrer une conversation vidéo avec la victime. Un moyen de rassurer l’utilisateur, qui se croit sur la page d'accueil sécurisée de sa banque, et de lui faire saisir ses informations personnelles en direct dans les fausses pages affichées.

Au sens littéral du terme, une véritable attaque de type «man in the middle ».

Annonce du 24. mai 2012

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr