IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Getmypass : un nouveau malware échappe à 55 antivirus
Et scan les lecteurs de cartes pour voler des données bancaires

Le , par Amine Horseman

81PARTAGES

1  0 
Nick Hoffman, un chercheur en sécurité, est tombé sur ce qui semble être un programme destiné à récupérer les informations des cartes de crédit dans les distributeurs automatiques et les lecteurs de cartes.

Ce malware, que Nick Hoffman appelle Getmypass, semble appartenir à une famille de logiciels malveillants connus sous le nom de RAM scrapers, qui procède en récupérant des informations stockées dans la mémoire RAM de l’appareil. Ces informations pourraient être utilisées par un hacker pour voler les données bancaires des utilisateurs, ce qui représenterait une menace très sérieuse.

Getmypass a des fonctions basiques à ce genre de programmes malveillants comme : la possibilité de rechercher des données de cartes de crédit et de valider les données pour s’assurer que les informations de la carte de paiement sont valides. Il peut aussi écrire dans un fichier et le chiffrer. Mais il lui manque d'autres caractéristiques communes, comme la capacité de recueillir des informations de connexion et de déplacer les données collectées dans un fichier non local. Aussi il ne contient pas de commandes de contrôle, ce qui est un moyen que les pirates utilisent souvent pour envoyer des ordres aux programmes malveillants.


Figure: Le certificat de sécurité du malware valide et signé par "Bargaining active"

Il est, cependant, muni d'un certificat numérique signé, ce qui a sûrement dû contribuer à tromper certains antivirus, car Getmypass n’a été détecté par aucun des 55 antivirus utilisés sur VirusTotal. Il ne faut pas cependant s’affoler, car le programme ne fait que lire et stocker des données dans un fichier. La plupart des antivirus même s’ils ne détectent pas un malware, peuvent le bloquer s’ils voient qu’il exécute des actions suspicieuses comme l’envoi de données vers un serveur distant.

« Ce malware semble être encore à ses débuts », écrit Hoffman, « Il contient des chaînes de débogage ce qui indique que l'auteur est en train de tester l'outil ou qu’il n’a pas encore fini de le développer ». Mais « il est important de suivre les outils de ce genre dès leurs premiers stades », continu-t-il, « afin que les chercheurs puissent observer la manière dont ils sont développés et comment ils évoluent ».

Source : Github

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de ILP
Membre confirmé https://www.developpez.com
Le 28/11/2014 à 18:14
D'après ce que je peux voir maintenant sur VirusTotal, le taux de détection est passé à 17/56 antivirus.
https://www.virustotal.com/fr/file/6...a710/analysis/

Mais, ça reste une belle démonstration de faisabilité concernant les failles de sécurités des distributeurs de billets et autres automates bancaires.
0  0 
Avatar de Guikingone
Membre éprouvé https://www.developpez.com
Le 01/12/2014 à 16:25
Ce qui me surprend le plus, c'est la présence de chaînes de déboguage, je veux bien que le malware n'en soit qu'à ses débuts mais là ça frise l'erreur de débutant .

En tout cas, il est intéressant de noter que personne ne l'avait signaler, un malware qui s'installe bien au chaud sans que cela n'inquiète personne, voilà qui m'étonne.
0  0 
Avatar de miky55
Membre averti https://www.developpez.com
Le 28/11/2014 à 23:02
Citation Envoyé par Amine Horseman Voir le message

Qu’en pensez-vous ?
La première question qui me viens à l'esprit est: Où allez vous pécher vos news? Le blog contient uniquement 2 posts et le compte github 11 followers. Donc jusqu'à preuve du contraire ce monsieur est un illustre inconnu. En quoi sa découverte mérite d’être publié et diffusée en dehors de son blog? Qui nous dit que c'est pas lui même qui a codé ce malaware pour faire parler de lui? Pas étonnant qu'un malaware qui ne dialogue avec aucun serveur ne soit pas reconnu comme tel tant que personne ne diffuse l’exécutable aux sociétés d'antivirus ou autres virustotal... Combien d'infection à t'il détecté plutôt 1? plutôt 10 millions? (j'ai ma petite idée...)
Concernant la signature rien d'extraordinaire, c'est signé baragoin chose, pas Microsoft Corp ;-)
0  1