IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Sécurité : un Trojan capable d'écrire du HTML à la volée pour afficher de faux relevés
De comptes et camoufler des virements

Le , par Gordon Fowler

0PARTAGES

1  0 
On n'arrête pas le progrès, surtout lorsqu'il s'agit de pirater les comptes en banque.
Un nouveau Trojan, très sophistiqué, vient d'être découvert.
Le principe en est à la fois simple et techniquement très avancé.

Le malware ne se contente en effet pas de voler les numéros de compte et les identifiants pour les transmettre à un tiers.
Il camoufle également le méfait.

Ainsi, l'internaute qui ira vérifier son compte n'y verra que du feu. Le Trojan surveille les connexions et les sites visités. Si la victime se connecte au site de sa banque, le Trojan en question est capable de réécrire à la volée le code HTML des pages visitées et de les injecter, à la place du vrai code HTML, dans le navigateur.

De cette manière, l'Internaute ne voit pas son vrai relevé mais un "fake".

C'est la société Finjan, spécialisée en sécurité informatique, qui a découvert ce programme.
Yuval Ben-Itzhak, Responsable de la Technologie, dévoile ainsi qu'en Août dernier plusieurs clients de grandes banques Allemandes ont été visés par ce type d'attaque. Les escrocs auraient récolté plus de 300.000 Euros en trois semaines.

Le Trojan, baptisé URLZone, se connecterait sur un serveur en Ukraine qui lui donnerait ses instructions (agissant ainsi sur le même principe qu'un "bot" obéissant à distance à un serveur "command-and-control".

Décidément très poussé, le malware génère des montants de transferts aléatoires pour éviter les filtres automatiques anti-fraudes des banques.
Il vérifie dans la foulée que les montants en question ne dépassent pas les limites autorisées pour le compte attaqué.

L'argent était ensuite transféré sur les comptes de plusieurs "mules" recrutées en ligne (pour du travail à domicile - dit le rapport), mules totalement ignorantes de l'origine frauduleuse des fonds qui transitent par leur banque.
Le rapport n'indique pas le profil psychologique des personnes ayant accepté de faire transiter de l'argent sur leurs comptes dans le cadre de la rémunération d'un travail...

Chaque mule n'a été utilisée que deux fois pour, là encore, ne pas attirer l'attention avec des circuits répétitifs et, à la longue, identifiables.

Le Trojan, lui, s'installe sur des machines visitant un site malicieux créé par le gang qui gère toute cette escroquerie.
Depuis, et sur communication des informations à la justice, le serveur Ukrainien a fermé le domaine du "command-and-control".

Ben-Itzhak, assez peu confiant sur l'avenir, précise que la majorité des machines infectées surfaient avec Internet Explorer mais que d'autres navigateurs peuvent être touchés.

Et que si les banques visées étaient Allemandes, il est sûr "que le phénomène va se répandre à d'autres pays".

La société Finjan estime que le gang qui a conçu ce Trojan pourrait en tirer un profit annuel de 7.3 millions de dollars (5 millions d'euros).

Source : Le rapport de la société Finjan (pdf) et la page explicative de la technique utilisée.

Lire aussi :

La rubrique Sécurité de Développez.com

Et vous ?

Que pensez-vous de ce malware sorti tout droit d'un livre de SF ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de entreprise38
Inactif https://www.developpez.com
Le 01/10/2009 à 19:39
Bonsoir,

Sait-on quelles interfaces Web de banques sont potentiellement affectées ?
C'est juste qu'en voyant les captures d'écrans qu'ils fournissent, je me demande bien où ils sont allés les chercher (sauf si ça date d'il y a 15 ans)
Non, vraiment, c'est plus du mauvais buzz qu'autre chose, une façon de faire parler d'eux (Finjan).
1  0 
Avatar de pi-2r
Rédacteur https://www.developpez.com
Le 01/10/2009 à 20:24
Bonsoir,

Citation Envoyé par Gordon Fowler Voir le message

Le Trojan surveille les connexions et les sites visités. Si la victime se connecte au site de sa banque, le Trojan en question est capable de réécrire à la volée le code HTML des pages visitées et de les injecter, à la place du vrai code HTML, dans le navigateur.

De cette manière, l'Internaute ne voit pas son vrai relevé mais un "fake".
il doit surement utiliser du code javascript pour réécrire la page....
1  0 
Avatar de LDDL
Membre habitué https://www.developpez.com
Le 01/10/2009 à 22:45
On pourrait pas faire un truc comme ça pour le prochain défi interlangage !
1  0 
Avatar de biboo_
Membre confirmé https://www.developpez.com
Le 02/10/2009 à 9:29
Je suis sidéré par le génie de certains.. ça ferait presque peur.
1  0 
Avatar de sshpcl2
Membre régulier https://www.developpez.com
Le 02/10/2009 à 10:48
pour le descriptif de la technique utilisé ::

http://www.finjan.com/MCRCblog.aspx?EntryId=2213

vicieux ...
1  0 
Avatar de Gordon Fowler
Expert éminent sénior https://www.developpez.com
Le 02/10/2009 à 18:03
Citation Envoyé par sshpcl2 Voir le message
pour le descriptif de la technique utilisé ::

http://www.finjan.com/MCRCblog.aspx?EntryId=2213

vicieux ...
Merci pour le lien !

Je l'ai rajouté à l'article.

Cordialement,

Gordon
1  0