Des chevaux de Troie sophistiqués s'en prennent au banking en ligne

04/03/08 à 16:00 - Mise à jour à 15:59

Source: Datanews

Le fait que les cyber-criminels s'attaquent par appât du gain aux applications de banking et à leurs utilisateurs n'est pas nouveau. Mais cette fois, Mikko Hypponen, 'chief research officer' chez F-Secure, est réellement impressionné par deux nouveaux types de cheval de Troie portant des noms peu excitants: Zbot et Mebroot.

Le fait que les cyber-criminels s'attaquent par appât du gain aux applications de banking et à leurs utilisateurs n'est pas nouveau. Mais cette fois, Mikko Hypponen, 'chief research officer' chez F-Secure, est réellement impressionné par deux nouveaux types de cheval de Troie portant des noms peu excitants: Zbot et Mebroot.

"En 'online banking', c'est toujours le point le plus faible qui est attaqué, lance Hypponen durant sa conférence presse au CeBIT. Et dans ce cas, il s'agit de l'utilisateur final et de son PC mal sécurisé. Cette fois, les cyber-criminels procèdent cependant d'une manière jugée très sophistiquée par nos chasseurs de virus."

Hyponnen cite les appellations Zbot, probablement d'origine russe, et Mebroot, d'origine encore indéterminée. Ces chevaux de Troie pénètrent dans les ordinateurs de la manière la plus courante actuellement: non plus par une attaque e-mail ciblée, mais par ce qu'on appelle en jargon des 'drive-by-downloads'. Résultat: l'utilisateur est contaminé soit par simple visite d'une page web infectée, soit en autorisant un téléchargement d'un fichier à partir d'une telle page.

Lorsqu'il arrive sur un PC, Zbot ne se prive pas d'en percer la sécurité bancaire, selon Hypponen: "Le cheval de Troie attend l'authentification de l'utilisateur lors d'une session d'online banking et se met alors au travail. L'utilisateur lui-même ne remarque aucune différence. Il a sous les yeux une (fausse) page de maintenance. Entre-temps, Zbot prévient en direct le criminel qui peut alors exécuter diverses transactions. Lorsque la page de maintenance disparaît, l'utilisateur voit apparaître le message "Merci pour votre attente. Pour poursuivre, veuillez entrer votre code 'challenge'". En réalité, l'utilisateur confirme ainsi que le voleur transfère l'argent vers son compte."

De son côté, Mebroot recourt à la bonne vieille technologie du 'rootkit'. "Avec les rootkits, il s'agit d'un combat permanent: c'est celui qui exécute le premier son code - le rootkit ou le logiciel antivirus - qui l'emporte. Mebroot exploite habilement la situation." Le programme malfaisant s'installe littéralement à l'endroit où le premier code de votre PC, au démarrage, est exécuté: au MBR du disque dur. "Au risque de me répéter, le premier qui exécute son code..."

"Nous n'aurions jamais pensé que les auteurs de 'malware' pouvaient y arriver", conclut Hypponen. "Mais ils ont procédé ces derniers mois à des tests bêta de Mebroot et sont aujourd'hui en train de lancer ce cheval de Troie. Cela prouve une fois de plus que le professionnalisme des cybercriminels est simplement sans limite."

Nos partenaires