Le nouveau malware bancaire ultra-sophistiqué « Carberp » défie Zeus
De plus en plus de malwares ciblent Mozilla Firefox

Le , par Idelways, Expert éminent sénior
Zeus, Le cheval de Troie dont un des buts principaux est l'usurpation d'informations bancaires par Keylogging (enregistrement de frappe) n'a qu'à bien se tenir. Un sérieux concurrent vient de lui déclarer la guerre.

Encore indétectable par 5 des 6 antivirus les plus répandus, il fait des ravages pour piller les comptes en banques en Europe et en Amérique au profit d'un groupe de criminels.

Baptisé « Carberp », il met en action des mécanismes identiques à ceux de Zeus et cible les systèmes et navigateurs les plus populaires, à savoir Windows 7, Vista et XP, Internet Explorer et Mozilla Firefox.

Il serait surtout impitoyable avec ses concurrents. Il cherche, par exemple, à détruire ou à désactiver les autres Trojan pilleurs de comptes, y compris son modèle Zeus.

Ce qui en fait, ironiquement, un anti-virus.

Les spécialistes ne s'accordent pas tous sur ses caractéristiques. Pour certains, il ne s'agit que d'un malware dérivé de Zeus.

Mais plusieurs variantes ont été détectées depuis son apparition, il y a quelques mois. Il a commencé, très confidentiel, sous la forme d'un « malware taxi ». Il ne servait alors qu'à télécharger d'autres malwares génériques.

Mais sa dernière incarnation, plutôt inquiétante (car très sophistiquée) embarque toutes les fonctionnalités d'un Trojan de banque.

"Carperb est différent, Il est très, très sophistiqué" affirme Andreas Baumhof, cofondateur et CTO de TrustDefender spécialiste de la sécurisation de l'authentification bancaire.

Baumhof s'attend à une plus large distribution que Zeus car son adaptation à d'autres pays ne requière qu'une petite modification d'un fichier de configuration.

Selon les spécialistes, Carberp peut aussi contourner les authentifications à double facteur en s'appuyant sur les trojans rivaux, comme Zeus, Gozi, SpyEye pour faire des injections HTML.

Il peut aussi s'installer sans avoir les droits d'administration sur le système cible, rendant inutile la protection par contrôle d'accès sur les dernières versions de Windows. Mais il n'infecte donc que le compte de l'utilisateur identifié.

Le malware disposerait aussi de capacités de détournement de navigateurs sans précédents et serait en mesure de s'accaparer tout le trafic avec internet, y compris les échanges sécurisés en HTTPS et SSL.

Carberp fonctionne sous deux modes "non ciblé" où il collecte tous les mots de passes et identifiants tapés, de préférence lors de connexions sécurisées.

Mais il fonctionne également en "mode ciblé" où il communique aux pirates, en temps réel, les données collectées et modifie les formulaires pour y injecter des champs supplémentaires, comme des détails sur la carte de crédit.

De quoi soulever de sérieuses inquiétudes, notamment auprès des utilisateurs de Firefox qui paye la rançon de sa gloire et devient une des cibles de choix de ce malware d'un genre très évolué.

Source : Communiqué de TrustDefender

Et vous ?

Que pensez-vous de ce malware ?
Comment comptez-vous vous prémunir contre cette menace ?

En collaboration avec Gordon Fowler


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de eomer212 eomer212 - Membre actif http://www.developpez.com
le 05/07/2013 à 21:41
alors concernant la 'legende urbaine' qui dit que microsoft rajouterait des backs doors pour les services de renseignement americains,
je vais t'expliquer le point de vue du diable, le service de renseignement francais ou autre qu'américain.
1:d'une part, pourquoi perdre des reseources et engager des specialistes quand on a pas le budget pour ca.. ?? on est pas des americains. et ces gars la coutent des fortunes.
2: si on trouve une back door, on se tait, et on garde précieusement cette information pour pouvoir nous meme noous en servir. ca serait con de rater une occaze pareille.
3: quand t'ecoutes les communiquants de l'armée ou du gourvernement, ils te disent "tout va bien madame la marquise."
FAUX. c'est la merde, les services de contre espionnage electroniques francais sont inexistants, "quelques dizaines d'opérateurs" et je ne parle pas de spécialistes de haut niveaux.
bref, pour l'armée francaise, ils savent trés bien que c'est plein de backdoor.
mais quand on a plus de pognon, on fait avec ce qu'on a.. le militaire francais est le champion du bricolo et de l'adaptation avec rien, une vieille tradition née de la pénurie permanente, surtout dans les cas operationnels.
alors uin vrai service, operationnel, financé et disposant de moyens adéquats, ca changerait vraiment..

dans tous les cas, il faut partir du principe que ces "services" sont dangereux, car fournis par des concurrents qui ont la manie de l'espionnage.
un veritable investissement europeen, serait donc de mettre en place une societe chargée d'une seule chose: creer un systéme d'exploitation, securisé et fiable.
ca permettrait d'equiper toutes les administrations europeenes et même de faire de l'argent en equipant les administrations ou les armées d'autres pays.

mais ca, c'est trop demander à nos politiques qui ne déifferencient toujours pas un pc windows et un pc linux.
alors, la securité.....
Avatar de sevyc64 sevyc64 - Modérateur http://www.developpez.com
le 05/07/2013 à 22:21
Citation Envoyé par eomer212  Voir le message
...

Tu me semble bien (mal) connaitre les militaires français. Tu semble avoir une belle dent contre eux.

Sache qu'ils sont un peu plus que "quelques dizaines d'opérateurs" . Certes pas aussi nombreux que les américains, mais comme bien souvent la quantité n'est pas forcément gage de qualité.

Sache aussi qu'en matière de communication électronique au sens large, ils n'ont pas grand chose à envier aux américains.

Et, oh stupeur, les moyens de communications radio de l'armée de terre américaine au début des années 90 (époque ou pourtant elle avait encore de conséquents budgets) était une technologie française achetée à l'armée française, armée française qui a commencé à cette époque d'ailleurs à utiliser la version 2.0 de cette technologie donc légèrement plus évoluée.
La rumeur disait à l'époque d'ailleurs que l'armée française avait conservé les moyens, secrets, de pouvoir brouiller et rendre inefficace le dispositif américain.
Je tiens ça de militaires eux-mêmes mais je n'ai jamais eu évidemment possibilité de vérifier. J'imagine que depuis tout ce matériel est passé au rebut.
Avatar de louisdiene louisdiene - Candidat au Club http://www.developpez.com
le 07/07/2013 à 4:11
Parlant de cookies est-qu'on s'éloignerait de Carberp ? Jusque là j'arrive à vous suivre...
Avatar de louisdiene louisdiene - Candidat au Club http://www.developpez.com
le 07/07/2013 à 4:19
Parlant de cookies est-qu'on s'éloignerait de Carberp ? Jusque là j'arrive à vous suivre...
Avatar de transgohan transgohan - Expert confirmé http://www.developpez.com
le 08/07/2013 à 11:23
Citation Envoyé par eomer212  Voir le message
...

Saches que l'armée française ainsi que toutes les entreprises ayant à travailler à un niveau secret défense et utilisant windows font leur propres Service Pack.
Cela inclut donc que même si on ne dévoile pas la backdoor au monde entier on la corrige au moins pour nos services français.

Ce n'est pas pour rien qu'on obtient chaque mise à jour un an en retard par rapport à la date de sortie.
Avatar de DevTroglodyte DevTroglodyte - Membre éclairé http://www.developpez.com
le 08/07/2013 à 11:31
De toute maniere, les données sensibles sont sur des réseaux coupés d'internet (et même là, y'a en plus pas mal de sécurités ajoutées), donc bon, pour y piocher des informations, c'est limite plus facile de retourner un agent de l'Etat que de tenter de pirater le système...

D'ailleurs c'est pareil dans le nucléaire civil.
Avatar de sevyc64 sevyc64 - Modérateur http://www.developpez.com
le 08/07/2013 à 12:02
Citation Envoyé par DevTroglodyte  Voir le message
De toute maniere, les données sensibles sont sur des réseaux coupés d'internet [...]

D'ailleurs c'est pareil dans le nucléaire civil.

Oui, enfin ça c'est la théorie.

Parce qu'en pratique ....
Avatar de DevTroglodyte DevTroglodyte - Membre éclairé http://www.developpez.com
le 08/07/2013 à 12:37
Citation Envoyé par sevyc64  Voir le message
Oui, enfin ça c'est la théorie.

Parce qu'en pratique ....

Ouais :-/

Et c'est sans compter les guignols qui utilisent des clés USB vérolées pour passer des données d'un réseau à un autre...
Avatar de MRick MRick - Membre du Club http://www.developpez.com
le 09/07/2013 à 14:34
Ce qui est inquiétant pour nous autres francophones, c'est que Carberp devrait suivre la même voie que Zeus auparavant.

Le problème c'est que Carberp a été développé par des développeurs vraiment bons. Par chance pour nous autres francophones, jusqu'ici ceux-ci ne le vendaient qu'a des clients russophones (on peut raisonnablement supposer que les auteurs de Carberp sont Russes, Ukrainiens, Biélorusses, ou d'une autre nationalité utilisant couramment la langue russe dans la vie de tous les jours).

Après la fuite de Zeus en 2011, il a fallut environ 1 ans et demi pour que des pirates originaires d'Afrique du nord en fassent une version spécifique visant les banques francophones (BNP, Société Générale, La Banque Postale, etc...), au début de l'année 2013.

Pour Carberp, on peut craindre qu'il faille moins de temps que pour Zeus.

Les escrocs francophones ne sont généralement pas très doués techniquement, la plupart ont encore recours à des techniques rudimentaires (mais néanmoins efficaces) comme le phishing. Mais quelques-un arrivent à dépasser ce stade.

Enfin je voudrais rectifier quelques idées reçues que j'ai lu plus haut dans ce fil de discussion :
Carberp n'est pas 1 virus, ça n'a donc pas de sens de dire qu'il n'est pas détecté par tel ou tel antivirus, puisque le taux de détection va varier d'un échantillon à l'autre. C'est une famille de virus qui compte plusieurs centaine de milliers de variantes, il serait donc plus judicieux de dire que tel ou tel éditeur détecte 80% ou 90% des variantes. Aucun éditeur ne peut se targuer de détecter 100% des variantes à un instant T, puisque de nouvelles variantes sont produites chaque heure, voire peut-être chaque minute.
À titre de comparaison la majorité des experts antivirus estiment qu'il y a environ 200 000 variantes de nouveaux codes malveillants créés chaque jour. J'ignore combien représente Carberp dans cette masse, mais il me semble raisonnable de donner une fourchette entre 500 et 10 000 nouveaux échantillons de la famille Carberp par jour.

Ce code source qui a donc fuité, ce n'est donc pas un bazooka laissé à trainé à des enfants, mais plutôt comme l'a écrit Brian Krebs : Les plans d'une usine d'armement laissés à trainer dans la nature.

C'est vraiment un framework complet, avec tout un tas d'option qui permet à celui qui le contrôle de générer des variantes de Carberp en quelques clics.

Les scripts-kiddies ne vont probablement pas réussi à en faire grand chose. Les pirates un peu plus doués par contre, même si ça leur prendra probablement du temps, vont finir par produire leurs propres versions de Carberp à la chaine.

Le seul côté positif dans cette histoire, c'est que les auteurs originaux de Carberp, qui louaient leur services à prix d'or, vont se retrouver un peu sur la paille.
Avatar de Pelote2012 Pelote2012 - Membre chevronné http://www.developpez.com
le 09/07/2013 à 16:52

2 choses l'une : soit les expert en profite est blinde la sécu soit on va vers du grand n'importe quoi et l'informatique connecté sera délaissé
L'apocalipse quoi

Restons calme pas de panic reste à espérer que le monde sera intelligent
Avatar de ddoumeche ddoumeche - Membre éclairé http://www.developpez.com
le 19/07/2013 à 2:25
Citation Envoyé par sevyc64  Voir le message
Quant à dissoudre la NSA, si ça avait été le but, ça aurait été fait après le 11 septembre et l'échec notoire des 2 agences NSA et CIA (ils étaient au courant et avait été mis au courant par les services étrangers, anglais et français, notamment, que quelque chose se tramait, mais non pas voulu en tenir compte)

Ce n'était pas le même gouvernement, et l'affaire Snowden ressemble trop à un pipeau.

Citation Envoyé par sevyc64  Voir le message
Je ne vois pas ou serait l’intérêt pour les américains de faire péter La Hague. Ça équivaudrait à déclarer la guerre à la France. La France n'est pas l'ennemie militaire de l’Amérique. Les USA auraient tout à perdre à déclarer la guerre à un des pays de l'Europe, ça serait un vrai suicide pour eux.

Mais c'est toi qui parle des américains. J'ai juste dis que Stuxnet fournirait un alibi "we have been hacked" à EDF.

Citation Envoyé par DevTroglodyte  Voir le message
Sans y coller une bombe, je vois mal comment tu vas t'y prendre.

Une bombe ca se trouve. Mais apparemment le sens de mon message a été mal compris :
D'abord, je dis la Hague parce que c'est symbolique, ou autre. Statistiquement, on a une catastrophe nucléaire majeure tout les ... 25 ans ?
Sachant qu'il faut 50 ans pour démanteler une centrale (selon l'expérience allemande), et qu'on n'a pas les fonds pour cela, la statistique voudrait que nous soyons les prochains sur la liste. Puisqu'on parle de la Hague, il vont démanteler une partie des installations les plus anciennes, ca va couter 4 milliards d'euros, le prix d'un porte avion nucléaire.
Et les catastrophes naturelles, ca n'arrive pas qu'aux autres : la tempête de 1999 a provoqué un accident grave à la centrale du blayais.

Citation Envoyé par sevyc64  Voir le message
Rien de plus simple, il suffit d'interdire au niveau du système l'utilisation de périphériques USB. C'est prévu en standard.

Et on revient à la disquette ? Je ne parlais pas de cette alternative

Citation Envoyé par sevyc64  Voir le message
Non tu mélange tout.
Il ne s'agit pas ici de système qui ne serait pas mis à jour et conserverait des failles de sécurité, mais bien d'une légende urbaine qui dit que Microsoft a volontairement codé dans ses logiciels des points d'accès secret à destinations des agences gouvernementales américaines pour qu'elles puissent se connecter et espionner n'importe quelles machines.

Va prouver qu'il n'y a pas de backdoors dans Windows
Offres d'emploi IT
Junior Product Manager Internship - M/F
Philips - Ile de France - Suresnes
Ingénieur expert technique - solutions citrix h/f
Régions - Centre de Services National Sogeti - Aquitaine - Pessac (33600)
Développeur python
Eco CO2 - Ile de France - Nanterre (92000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil