Annonce du 11. septembre 2013

Les chevaux de Troie bancaires optent pour le cloud

Les chevaux de Troie bancaires utilisent des services distants dits "en cloud" pour optimiser leurs attaques.

Les experts du G Data SecurityLabs ont découvert un nouveau fonctionnement dans les chevaux de Troie bancaires. Alors que précédemment les URL des pages Internet  bancaires ou des formulaires en ligne à détourner étaient contenus dans le code malveillant, ces adresses sont maintenant stockées sur des serveurs distants. Une évolution technologique qui rend l’analyse des cibles plus difficile. Une évolution technologique qui n’empêche toutefois pas les solutions G Data de bloquer ces dangers.

Certains chevaux de Troie sont spécialisés dans le vol de données personnelles ou le détournement de virements bancaires. Pour réussir ces actions, ces programmes détectent les liens affichés dans le navigateur Internet de la victime et modifient les pages pour capter les informations saisies. Pour cela, ces codes utilisent traditionnellement des fichiers de configuration stockés sur l'ordinateur attaqué. Ces fichiers contiennent les adresses des sites Web compromis et le code, appelé WebInject, qu'ils cherchent à ajouter à ces sites via les chevaux de Troie bancaires. Ce code est alors chargé de voler des données d'accès et des informations personnelles par exemple.

Le cloud pour plus de réactivité et de furtivité

Dans leurs nouvelles versions, différentes parties de la configuration des logiciels malveillants sont déplacées sur des serveurs distants. Grâce à cette procédure, leurs auteurs rendent les programmes plus flexibles et plus hermétiques aux analyses.
Des Javascripts complémentaires sont par exemple chargés en fonction de la page visitée afin d’optimiser l’attaque, un fonctionnement constaté par les analystes de G Data dans une nouvelle variante de Zeus.
Les URL  peuvent aussi être stockées sur des serveurs distants. C’est par exemple un fonctionnement constaté par G Data dans le nouveau cheval de Troie Ciavax. Les URL n’étant pas stockées dans le programme en lui-même, y accéder par analyse du code est impossible. Quant à l’attaque du serveur (par brute force) pour obtenir l’accès aux URL, il est facilement repérable par le cybercriminel qui peut alors prendre les contre-mesures adéquates.

Graph 1: Attaque schématique classique de type “Man in the Browser”

Graph 2: Attaque schématique basée sur une technologie Cloud

L’autre avantage de l’utilisation de serveurs distants pour les cybercriminels est la grande évolutivité que cela confère à leur code. Ces chevaux de Troie remontants toutes les URL consultées par la victime, il peut ainsi définir de nouveaux scénarios d’attaque en complétant sa liste d’adresses et en développant de nouveaux Webinjects.


Les utilisateurs de solutions G Data protégés
En bloquant la source de l’attaque sur l’ordinateur, autrement dit en protégeant le navigateur Internet de toute injection de code et de capture de données, les protections BankGuard et CloseGap permettent aux utilisateurs des solutions G Data de ne pas être impactés par ces nouveaux chevaux de Troie bancaire.

 

Pour une analyse complète de cette découverte, visitez le G Data Security Blog

Annonce du 11. septembre 2013

Contact Presse

G DATA Software France SARL

Jérôme Granger

Public Relations Manager France

2A, rue Danton

92120 Montrouge

Tél: +33 (0)1 41 48 51 46

Mail: Jerome.granger@remove-this.gdata.fr