Le nouveau malware bancaire ultra-sophistiqué « Carberp » défie Zeus
De plus en plus de malwares ciblent Mozilla Firefox
Le 2010-10-12 15:48:51, par Idelways, Expert éminent sénior
Zeus, Le cheval de Troie dont un des buts principaux est l'usurpation d'informations bancaires par Keylogging (enregistrement de frappe) n'a qu'à bien se tenir. Un sérieux concurrent vient de lui déclarer la guerre.
Encore indétectable par 5 des 6 antivirus les plus répandus, il fait des ravages pour piller les comptes en banques en Europe et en Amérique au profit d'un groupe de criminels.
Baptisé « Carberp », il met en action des mécanismes identiques à ceux de Zeus et cible les systèmes et navigateurs les plus populaires, à savoir Windows 7, Vista et XP, Internet Explorer et Mozilla Firefox.
Il serait surtout impitoyable avec ses concurrents. Il cherche, par exemple, à détruire ou à désactiver les autres Trojan pilleurs de comptes, y compris son modèle Zeus.
Ce qui en fait, ironiquement, un anti-virus.
Les spécialistes ne s'accordent pas tous sur ses caractéristiques. Pour certains, il ne s'agit que d'un malware dérivé de Zeus.
Mais plusieurs variantes ont été détectées depuis son apparition, il y a quelques mois. Il a commencé, très confidentiel, sous la forme d'un « malware taxi ». Il ne servait alors qu'à télécharger d'autres malwares génériques.
Mais sa dernière incarnation, plutôt inquiétante (car très sophistiquée) embarque toutes les fonctionnalités d'un Trojan de banque.
"Carperb est différent, Il est très, très sophistiqué" affirme Andreas Baumhof, cofondateur et CTO de TrustDefender spécialiste de la sécurisation de l'authentification bancaire.
Baumhof s'attend à une plus large distribution que Zeus car son adaptation à d'autres pays ne requière qu'une petite modification d'un fichier de configuration.
Selon les spécialistes, Carberp peut aussi contourner les authentifications à double facteur en s'appuyant sur les trojans rivaux, comme Zeus, Gozi, SpyEye pour faire des injections HTML.
Il peut aussi s'installer sans avoir les droits d'administration sur le système cible, rendant inutile la protection par contrôle d'accès sur les dernières versions de Windows. Mais il n'infecte donc que le compte de l'utilisateur identifié.
Le malware disposerait aussi de capacités de détournement de navigateurs sans précédents et serait en mesure de s'accaparer tout le trafic avec internet, y compris les échanges sécurisés en HTTPS et SSL.
Carberp fonctionne sous deux modes "non ciblé" où il collecte tous les mots de passes et identifiants tapés, de préférence lors de connexions sécurisées.
Mais il fonctionne également en "mode ciblé" où il communique aux pirates, en temps réel, les données collectées et modifie les formulaires pour y injecter des champs supplémentaires, comme des détails sur la carte de crédit.
De quoi soulever de sérieuses inquiétudes, notamment auprès des utilisateurs de Firefox qui paye la rançon de sa gloire et devient une des cibles de choix de ce malware d'un genre très évolué.
Source : Communiqué de TrustDefender
Et vous ?
En collaboration avec Gordon Fowler
Encore indétectable par 5 des 6 antivirus les plus répandus, il fait des ravages pour piller les comptes en banques en Europe et en Amérique au profit d'un groupe de criminels.
Baptisé « Carberp », il met en action des mécanismes identiques à ceux de Zeus et cible les systèmes et navigateurs les plus populaires, à savoir Windows 7, Vista et XP, Internet Explorer et Mozilla Firefox.
Il serait surtout impitoyable avec ses concurrents. Il cherche, par exemple, à détruire ou à désactiver les autres Trojan pilleurs de comptes, y compris son modèle Zeus.
Ce qui en fait, ironiquement, un anti-virus.
Les spécialistes ne s'accordent pas tous sur ses caractéristiques. Pour certains, il ne s'agit que d'un malware dérivé de Zeus.
Mais plusieurs variantes ont été détectées depuis son apparition, il y a quelques mois. Il a commencé, très confidentiel, sous la forme d'un « malware taxi ». Il ne servait alors qu'à télécharger d'autres malwares génériques.
Mais sa dernière incarnation, plutôt inquiétante (car très sophistiquée) embarque toutes les fonctionnalités d'un Trojan de banque.
"Carperb est différent, Il est très, très sophistiqué" affirme Andreas Baumhof, cofondateur et CTO de TrustDefender spécialiste de la sécurisation de l'authentification bancaire.
Baumhof s'attend à une plus large distribution que Zeus car son adaptation à d'autres pays ne requière qu'une petite modification d'un fichier de configuration.
Selon les spécialistes, Carberp peut aussi contourner les authentifications à double facteur en s'appuyant sur les trojans rivaux, comme Zeus, Gozi, SpyEye pour faire des injections HTML.
Il peut aussi s'installer sans avoir les droits d'administration sur le système cible, rendant inutile la protection par contrôle d'accès sur les dernières versions de Windows. Mais il n'infecte donc que le compte de l'utilisateur identifié.
Le malware disposerait aussi de capacités de détournement de navigateurs sans précédents et serait en mesure de s'accaparer tout le trafic avec internet, y compris les échanges sécurisés en HTTPS et SSL.
Carberp fonctionne sous deux modes "non ciblé" où il collecte tous les mots de passes et identifiants tapés, de préférence lors de connexions sécurisées.
Mais il fonctionne également en "mode ciblé" où il communique aux pirates, en temps réel, les données collectées et modifie les formulaires pour y injecter des champs supplémentaires, comme des détails sur la carte de crédit.
De quoi soulever de sérieuses inquiétudes, notamment auprès des utilisateurs de Firefox qui paye la rançon de sa gloire et devient une des cibles de choix de ce malware d'un genre très évolué.
Source : Communiqué de TrustDefender
Et vous ?
En collaboration avec Gordon Fowler
-
joseph_pMembre expérimentéje ne vais pas m'en plaindre, mais pourquoi/comment les linux ne sont ils pas des OS cibles ?
est il envisageable qu'ils le deviennent ?le 12/10/2010 à 16:27 -
azstarMembre émériten'oublie pas que l'espionnage n'est pas toujours pour un but purement militaire, mais aussi commercial, par exemple, l’espionnage sur des sociétés françaises qui a mène a que pas mal des offres d'appel a été gagnés par des sociétés américaines, car ces sociétés connaissent par l'avance les offres des sociétés françaises.le 05/07/2013 à 10:01
-
NolloMembre régulierC'est quoi ces attaques virales ultra sophistiquées ?
Après Stuxnet on a Carbep ? Soit c'est 2 des 10 signes de l'apocalypse binaire, soit y en a qui s'amusent bien le weekendle 12/10/2010 à 16:15 -
joseph_pMembre expérimentédisons qu'en effet le coeur de ma question était de savoir si certains avaient d'autres éléments que "pas assez populaire", ce qui d'ailleurs est d'autant moins vrai pour les smartphones (IOS et Android sont basés sur lunix/linux).
m'enfin, je pense bien que c'est une question difficile...le 12/10/2010 à 17:10 -
pi-2rRédacteurBonsoir,
Cela ne doit être qu'une souche modifiée d'un malware comme Zeus, Phoenix ou encore Zunker....
(Malgré les pubs faite par les éditeurs d'antivirus, ils ont toujours un temps de retard...).
pour ceux que cela intéresse voici, une démonstration du bot Zeus fait par l'éditeur d'antivirus Symantec.
[ame="http://www.youtube.com/watch?v=CzdBCDPETxk"]http://www.youtube.com/watch?v=CzdBCDPETxk[/ame]
lien officielle 12/10/2010 à 21:02 -
sevyc64ModérateurComme d'habitude :Comment comptez-vous vous prémunir contre cette menace ?
- Antivirus et antimalware à jour
- Accès aux sites bancaires à partir d'une adresse que je tape et non pas un lien dans un mail
- Je fais attention sur quel site et dans quelles conditions je communique des infos aussi sensible
- Utilisation de n° à usage unique pour les achats par cartes bancairesle 12/10/2010 à 16:28 -
DiDieuhMembre habituéle 12/10/2010 à 16:30
-
sevyc64Modérateurle 12/10/2010 à 16:30
-
bombsebMembre expérimentéca fait 10 ans qu'on nous dit ça....Vu les virus de plus en plus véloce, c'est Mac OSX qui sera visé en premier surement dans pas longtemps 2ou 3 ans à mon avis...le 12/10/2010 à 17:03
-
NekoMembre chevronnéEt mac OS ne concerne toujours pas une grosse proportion des utilisateurs. Récemment cette proportion a un peu augmentée. Est-ce suffisant pour intéresser les créateurs de malwares en tout genre? peut-être pas, peut-être ça ne le sera jamais. En attendant, lors des concours de Hacking, Mac OS se fait avoir comme les autres.le 12/10/2010 à 17:32