Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Propagation d’un Trojan bancaire via Skype

25 Novembre 2013 , Rédigé par nicko Publié dans #informatique

Doctor Web alerte les utilisateurs sur la propagation des Trojans bancaires de la famille BackDoor.Caphaw via les messages de Skype. Le pic de ces envois a été enregistré dans la première moitié de novembre 2013. BackDoor.Caphaw est capable de voler les identifiants d’accès aux comptes en ligne et d’autres données sensibles stockées sur la machine infectée.

Propagation d’un Trojan bancaire via Skype

Il exploite les vulnérabilités des navigateurs (par exemple les packages d'exploits BlackHole), et se copie sur les supports amovibles et réseau. Depuis la deuxième quinzaine d'octobre 2013, les attaquants utilisent Skype pour distribuer le Trojan BackDoor.Caphaw. Le pic de la propagation a été enregistré entre le 5 et 14 novembre 2013. Les attaquants envoient des messages via Skype en utilisant les comptes des utilisateurs déjà infectés. Les messages incluent un lien vers une archive portant le nom invoice_XXXXX.pdf.exe.zip (où XXXXX est un ensemble aléatoire de chiffres). L'archive contient le fichier exécutable du Trojan BackDoor.Caphaw.

Après son lancement, le Trojan sauvegarde sa copie dans un dossier d’application comme un fichier, avec un nom aléatoire, et modifie la clé du Registre chargée du lancement automatique des applications. Afin de faire face aux tentatives d'être étudié, ce Trojan possède un mécanisme de détection de lancement sur une machine virtuelle.

Suite à son installation, le Trojan BackDoor.Caphaw essaie de s'intégrer dans les processus en cours et de se connecter à un serveur des attaquants. Ce Trojan surveille l'activité de l'utilisateur et détecte les connexions aux banques en ligne. Dans ce cas, BackDoor.Caphaw peut injecter du contenu malveillant et intercepter les données entrées dans différents formulaires.

Une autre de ses fonctions est l’utilisation de la caméra et l'enregistrement, sur la machine infectée, de vidéos en streaming, afin de le transmettre au serveur des attaquants sous la forme d’une archive RAR. En outre le BackDoor.Caphaw peut télécharger depuis le serveur distant des composants additionnels et les lancer. Par exemple, des modules pour rechercher et transmettre aux attaquants les mots de passe des clients FTP ou créer un serveur VNC. Il existe également un module MBR bootkit, capable d'infecter des secteurs d'amorçage etc. Enfin, il existe un module pour l'envoi automatique de liens malveillants via Skype.

L'antivirus Dr.Web détecte cette menace et neutralise BackDoor.Caphaw s'il essaie de pénétrer le système. Néanmoins, les utilisateurs doivent rester prudents et éviter de cliquer sur les liens reçus dans les messages via Skype, même si ces messages proviennent de leurs connaissances, car leurs ordinateurs peuvent être déjà infectés par le BackDoor.Caphaw. Si votre ordinateur est infecté, les spécialistes de Doctor Web vous conseillent de démarrer votre ordinateur en mode sans échec et de lancer un scan complet avec l'utilitaire de traitement Dr.Web CureIt!, ou Dr.Web LiveCD.

Source: Dr.Web

Partager cet article

Repost 0

Commenter cet article