Discussion :

[Amine Horseman]

Getmypass : un nouveau malware échappe à 55 antivirus
et scan les lecteurs de cartes pour voler des données bancaires

Nick Hoffman, un chercheur en sécurité, est tombé sur ce qui semble être un programme destiné à récupérer les informations des cartes de crédit dans les distributeurs automatiques et les lecteurs de cartes.

Ce malware, que Nick Hoffman appelle Getmypass, semble appartenir à une famille de logiciels malveillants connus sous le nom de RAM scrapers, qui procède en récupérant des informations stockées dans la mémoire RAM de l’appareil. Ces informations pourraient être utilisées par un hacker pour voler les données bancaires des utilisateurs, ce qui représenterait une menace très sérieuse.

Getmypass a des fonctions basiques à ce genre de programmes malveillants comme : la possibilité de rechercher des données de cartes de crédit et de valider les données pour s’assurer que les informations de la carte de paiement sont valides. Il peut aussi écrire dans un fichier et le chiffrer. Mais il lui manque d'autres caractéristiques communes, comme la capacité de recueillir des informations de connexion et de déplacer les données collectées dans un fichier non local. Aussi il ne contient pas de commandes de contrôle, ce qui est un moyen que les pirates utilisent souvent pour envoyer des ordres aux programmes malveillants.

Figure: Le certificat de sécurité du malware valide et signé par "Bargaining active"

Il est, cependant, muni d'un certificat numérique signé, ce qui a sûrement dû contribuer à tromper certains antivirus, car Getmypass n’a été détecté par aucun des 55 antivirus utilisés sur VirusTotal. Il ne faut pas cependant s’affoler, car le programme ne fait que lire et stocker des données dans un fichier. La plupart des antivirus même s’ils ne détectent pas un malware, peuvent le bloquer s’ils voient qu’il exécute des actions suspicieuses comme l’envoi de données vers un serveur distant.

« Ce malware semble être encore à ses débuts », écrit Hoffman, « Il contient des chaînes de débogage ce qui indique que l'auteur est en train de tester l'outil ou qu’il n’a pas encore fini de le développer ». Mais « il est important de suivre les outils de ce genre dès leurs premiers stades », continu-t-il, « afin que les chercheurs puissent observer la manière dont ils sont développés et comment ils évoluent ».

Source : Github

Et vous ?

Qu’en pensez-vous ?

[ILP]

D'après ce que je peux voir maintenant sur VirusTotal, le taux de détection est passé à 17/56 antivirus.
https://www.virustotal.com/fr/file/6...a710/analysis/

Mais, ça reste une belle démonstration de faisabilité concernant les failles de sécurités des distributeurs de billets et autres automates bancaires.

[miky55]

Qu’en pensez-vous ?

La première question qui me viens à l'esprit est: Où allez vous pécher vos news? Le blog contient uniquement 2 posts et le compte github 11 followers. Donc jusqu'à preuve du contraire ce monsieur est un illustre inconnu. En quoi sa découverte mérite d’être publié et diffusée en dehors de son blog? Qui nous dit que c'est pas lui même qui a codé ce malaware pour faire parler de lui? Pas étonnant qu'un malaware qui ne dialogue avec aucun serveur ne soit pas reconnu comme tel tant que personne ne diffuse l’exécutable aux sociétés d'antivirus ou autres virustotal... Combien d'infection à t'il détecté plutôt 1? plutôt 10 millions? (j'ai ma petite idée...)
Concernant la signature rien d'extraordinaire, c'est signé baragoin chose, pas Microsoft Corp ;-)

[Guikingone]

Ce qui me surprend le plus, c'est la présence de chaînes de déboguage, je veux bien que le malware n'en soit qu'à ses débuts mais là ça frise l'erreur de débutant .

En tout cas, il est intéressant de noter que personne ne l'avait signaler, un malware qui s'installe bien au chaud sans que cela n'inquiète personne, voilà qui m'étonne.