Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Les chevaux de Troie bancaires optent pour le cloud

14 Septembre 2013 , Rédigé par nicko

Les chevaux de Troie bancaires utilisent des services distants dits "en cloud" pour optimiser leurs attaques.

Les chevaux de Troie bancaires optent pour le cloud

Les experts du G Data SecurityLabs ont découvert un nouveau fonctionnement dans les chevaux de Troie bancaires. Alors que précédemment les URL des pages Internet bancaires ou des formulaires en ligne à détourner étaient contenus dans le code malveillant, ces adresses sont maintenant stockées sur des serveurs distants. Une évolution technologique qui rend l’analyse des cibles plus difficile. Une évolution technologique qui n’empêche toutefois pas les solutions G Data de bloquer ces dangers.

Certains chevaux de Troie sont spécialisés dans le vol de données personnelles ou le détournement de virements bancaires. Pour réussir ces actions, ces programmes détectent les liens affichés dans le navigateur Internet de la victime et modifient les pages pour capter les informations saisies. Pour cela, ces codes utilisent traditionnellement des fichiers de configuration stockés sur l'ordinateur attaqué. Ces fichiers contiennent les adresses des sites Web compromis et le code, appelé WebInject, qu'ils cherchent à ajouter à ces sites via les chevaux de Troie bancaires. Ce code est alors chargé de voler des données d'accès et des informations personnelles par exemple.

Le cloud pour plus de réactivité et de furtivité
Dans leurs nouvelles versions, différentes parties de la configuration des logiciels malveillants sont déplacées sur des serveurs distants. Grâce à cette procédure, leurs auteurs rendent les programmes plus flexibles et plus hermétiques aux analyses.
Des Javascripts complémentaires sont par exemple chargés en fonction de la page visitée afin d’optimiser l’attaque, un fonctionnement constaté par les analystes de G Data dans une nouvelle variante de Zeus.
Les URL peuvent aussi être stockées sur des serveurs distants. C’est par exemple un fonctionnement constaté par G Data dans le nouveau cheval de Troie Ciavax. Les URL n’étant pas stockées dans le programme en lui-même, y accéder par analyse du code est impossible. Quant à l’attaque du serveur (par brute force) pour obtenir l’accès aux URL, il est facilement repérable par le cybercriminel qui peut alors prendre les contre-mesures adéquates.

Les chevaux de Troie bancaires optent pour le cloud
Graph 1: Attaque schématique classique de type “Man in the Browser”

Graph 1: Attaque schématique classique de type “Man in the Browser”

Graph 2: Attaque schématique basée sur une technologie Cloud

Graph 2: Attaque schématique basée sur une technologie Cloud

L’autre avantage de l’utilisation de serveurs distants pour les cybercriminels est la grande évolutivité que cela confère à leur code. Ces chevaux de Troie remontants toutes les URL consultées par la victime, il peut ainsi définir de nouveaux scénarios d’attaque en complétant sa liste d’adresses et en développant de nouveaux Webinjects.

Source: gdata

Partager cet article

Repost 0

Commenter cet article