Des chercheurs de la firme de sécurité AVG viennent de publier un livre blanc sur le dangereux Cheval de Troie bancaire Vawtrak. Le rapport montre que le malware, dont l'existence n'est pas récente, s'est doté de nouvelles fonctionnalités qui lui permettent d'envoyer et recevoir des données via des favicons chiffrés, distribués sur le réseau Tor.Un favicon désigne l'icône dans la barre d'adresse, la barre de titre, les favoris ou dans les onglets de navigateur, qui symbolise le site web visité.
Selon Jakub Kroustek, chercheur chez AVG, l'échantillon de Vawtrak utiliserait les favicons pour recevoir les mises à jour de ses développeurs. « Cet échantillon de Vawtrak utilise la stéganographie [une sorte de technique de dissimulation] pour cacher les fichiers de mise à jour à l'intérieur des favicons de sorte que les téléchargements ne soient pas suspects ». A-t-il dit. « Chaque favicon est seulement de quelques kilo-octets en taille, mais c'est assez pour transporter un fichier de mise à jour signé numériquement caché à l'intérieur », a-t-il ajouté.
D'après le chercheur, Vawtrak utiliserait aussi le proxy Tor2Web « pour accéder aux serveurs de mises à jour qui sont hébergés sur les services web Tor cachés sans installer un logiciel spécialisé comme Tor Browser ». Par ailleurs, la communication avec le serveur distant se fait via SSL, qui offre davantage de chiffrement.
Le cheval de Troie vise principalement les utilisateurs de banque en ligne. Une fois qu'il a infecté un système, le malware exécute plusieurs actions d'abord pour échapper aux logiciels de sécurité et ensuite pour recueillir les mots de passe des utilisateurs.
Vawtrak contient une protection proactive contre la détection antivirus. Son mécanisme de défense lui permet de détecter tous les antivirus installés et de les désactiver en utilisant le système Windows de politiques de restriction logicielle.
Il parvient ensuite à voler les mots de passe des utilisateurs qui sont stockés en ligne ou sur la machine locale par deux méthodes différentes. La première méthode est basée sur la surveillance des données envoyées par un navigateur Web.
Vawtrak surveille en permanence l'utilisateur en enregistrant les frappes de clavier, en prenant des captures d'écran ou encore en enregistrant les actions de l'utilisateur sur le bureau dans une vidéo AVI.
La seconde méthode pour voler les mots de passe est fournie par le module de vol de mots de passe Pony.
Le malware crée également un accès à distance à la machine d'un utilisateur et communique avec des serveurs distants de commande et de contrôle auxquels il envoie les informations volées et qui lui permettent de recevoir ses mises à jour.
Pour infecter de manière persistante la machine de l'utilisateur, le cheval de Troie stocke ses paramètres internes dans un emplacement persistant, comme le registre.
Vawtrak opère principalement sur les navigateurs Internet Explorer, Firefox et Google Chrome et les pays les plus touchés par ses campagnes cette année sont la République tchèque, les Etats-Unis, le Royaume-Uni et l'Allemagne.
Le chercheur en sécurité note que le malware se propage de trois façons principales. Il peut infecter une machine via les téléchargements cachés de pièces jointes de spam ou à partir de liens vers des sites compromis. Il se propage également à partir des logiciels de téléchargement de malwares, et via les Kits d'exploits tels qu’Angler.
Source : AVG
Et vous ?
Qu'en pensez-vous?