Sécurité : un Trojan est capable d'écrire du code HTML à la volée pour afficher de faux relevés on-line
Sécurité : un Trojan est capable d'écrire du HTML à la volée pour afficher de faux relevés de comptes et faire croire que tout est en ordre
On n'arrête pas le progrès, surtout lorsqu'il s'agit de pirater les comptes en banque.
Un nouveau Trojan, très sophistiqué, vient d'être découvert.
Le principe en est à la fois simple et techniquement très avancé.
Le malware ne se contente en effet pas de voler les numéros de compte et les identifiants pour les transmettre à un tiers.
Il camoufle également le méfait.
Ainsi, l'internaute qui ira vérifier son compte n'y verra que du feu. Le Trojan surveille les connexions et les sites visités. Si la victime se connecte au site de sa banque, le Trojan en question est capable de réécrire à la volée le code HTML des pages visitées et de les injecter, à la place du vrai code HTML, dans le navigateur.
De cette manière, l'Internaute ne voit pas son vrai relevé mais un "fake".
C'est la société Finjan, spécialisée en sécurité informatique, qui a découvert ce programme.
Yuval Ben-Itzhak, Responsable de la Technologie, dévoile ainsi qu'en Août dernier plusieurs clients de grandes banques Allemandes ont été visés par ce type d'attaque. Les escrocs auraient récolté plus de 300.000 Euros en trois semaines.
Le Trojan, baptisé URLZone, se connecterait sur un serveur en Ukraine qui lui donnerait ses instructions (agissant ainsi sur le même principe qu'un "bot" obéissant à distance à un serveur "command-and-control").
Décidément très poussé, le malware génère des montants de transferts aléatoires pour éviter les filtres automatiques anti-fraudes des banques.
Il vérifie dans la foulée que les montants en question ne dépassent pas les limites autorisées pour le compte attaqué.
L'argent était ensuite transféré sur les comptes de plusieurs "mules" recrutées en ligne (pour du travail à domicile - dit le rapport), mules totalement ignorantes de l'origine frauduleuse des fonds qui transitent par leur banque.
Le rapport n'indique pas le profil psychologique des personnes ayant accepté de faire transiter de l'argent sur leurs comptes dans le cadre de la rémunération d'un travail...
Chaque mule n'a été utilisée que deux fois pour, là encore, ne pas attirer l'attention avec des circuits répétitifs et, à la longue, identifiables.
Le Trojan, lui, s'installe sur des machines visitant un site malicieux créé par le gang qui gère toute cette escroquerie.
Depuis, et sur communication des informations à la justice, le serveur Ukrainien a fermé le domaine du "command-and-control".
Ben-Itzhak, assez peu confiant sur l'avenir, précise que la majorité des machines infectées surfaient avec Internet Explorer mais que d'autres navigateurs peuvent être touchés.
Et que si les banques visées étaient Allemandes, il est sûr "que le phénomène va se répandre à d'autres pays".
La société Finjan estime que le gang qui a conçu ce Trojan pourrait en tirer un profit annuel de 7.3 millions de dollars (5 millions d'euros).
Source : Le rapport de la société Finjan (pdf) et la page explicative de la technique utilisée.
Lire aussi :
La rubrique Sécurité de Développez.com
Et vous ?
Répondre avec citation
(sauf si ça date d'il y a 15 ans)
Envoyé par Gordon Fowler
Partager