Sécurité : un Trojan capable d'écrire du HTML à la volée pour afficher de faux relevés
De comptes et camoufler des virements

Le , par Gordon Fowler, Expert éminent sénior
On n'arrête pas le progrès, surtout lorsqu'il s'agit de pirater les comptes en banque.
Un nouveau Trojan, très sophistiqué, vient d'être découvert.
Le principe en est à la fois simple et techniquement très avancé.

Le malware ne se contente en effet pas de voler les numéros de compte et les identifiants pour les transmettre à un tiers.
Il camoufle également le méfait.

Ainsi, l'internaute qui ira vérifier son compte n'y verra que du feu. Le Trojan surveille les connexions et les sites visités. Si la victime se connecte au site de sa banque, le Trojan en question est capable de réécrire à la volée le code HTML des pages visitées et de les injecter, à la place du vrai code HTML, dans le navigateur.

De cette manière, l'Internaute ne voit pas son vrai relevé mais un "fake".

C'est la société Finjan, spécialisée en sécurité informatique, qui a découvert ce programme.
Yuval Ben-Itzhak, Responsable de la Technologie, dévoile ainsi qu'en Août dernier plusieurs clients de grandes banques Allemandes ont été visés par ce type d'attaque. Les escrocs auraient récolté plus de 300.000 Euros en trois semaines.

Le Trojan, baptisé URLZone, se connecterait sur un serveur en Ukraine qui lui donnerait ses instructions (agissant ainsi sur le même principe qu'un "bot" obéissant à distance à un serveur "command-and-control").

Décidément très poussé, le malware génère des montants de transferts aléatoires pour éviter les filtres automatiques anti-fraudes des banques.
Il vérifie dans la foulée que les montants en question ne dépassent pas les limites autorisées pour le compte attaqué.

L'argent était ensuite transféré sur les comptes de plusieurs "mules" recrutées en ligne (pour du travail à domicile - dit le rapport), mules totalement ignorantes de l'origine frauduleuse des fonds qui transitent par leur banque.
Le rapport n'indique pas le profil psychologique des personnes ayant accepté de faire transiter de l'argent sur leurs comptes dans le cadre de la rémunération d'un travail...

Chaque mule n'a été utilisée que deux fois pour, là encore, ne pas attirer l'attention avec des circuits répétitifs et, à la longue, identifiables.

Le Trojan, lui, s'installe sur des machines visitant un site malicieux créé par le gang qui gère toute cette escroquerie.
Depuis, et sur communication des informations à la justice, le serveur Ukrainien a fermé le domaine du "command-and-control".

Ben-Itzhak, assez peu confiant sur l'avenir, précise que la majorité des machines infectées surfaient avec Internet Explorer mais que d'autres navigateurs peuvent être touchés.

Et que si les banques visées étaient Allemandes, il est sûr "que le phénomène va se répandre à d'autres pays".

La société Finjan estime que le gang qui a conçu ce Trojan pourrait en tirer un profit annuel de 7.3 millions de dollars (5 millions d'euros).

Source : Le rapport de la société Finjan (pdf) et la page explicative de la technique utilisée.

Lire aussi :

La rubrique Sécurité de Développez.com

Et vous ?

Que pensez-vous de ce malware sorti tout droit d'un livre de SF ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de entreprise38 entreprise38 - Inactif https://www.developpez.com
le 01/10/2009 à 19:39
Bonsoir,

Sait-on quelles interfaces Web de banques sont potentiellement affectées ?
C'est juste qu'en voyant les captures d'écrans qu'ils fournissent, je me demande bien où ils sont allés les chercher (sauf si ça date d'il y a 15 ans)
Non, vraiment, c'est plus du mauvais buzz qu'autre chose, une façon de faire parler d'eux (Finjan).
Avatar de pi-2r pi-2r - Rédacteur https://www.developpez.com
le 01/10/2009 à 20:24
Bonsoir,

Citation Envoyé par Gordon Fowler  Voir le message
Le Trojan surveille les connexions et les sites visités. Si la victime se connecte au site de sa banque, le Trojan en question est capable de réécrire à la volée le code HTML des pages visitées et de les injecter, à la place du vrai code HTML, dans le navigateur.

De cette manière, l'Internaute ne voit pas son vrai relevé mais un "fake".

il doit surement utiliser du code javascript pour réécrire la page....
Avatar de LDDL LDDL - Membre habitué https://www.developpez.com
le 01/10/2009 à 22:45
On pourrait pas faire un truc comme ça pour le prochain défi interlangage !
Avatar de biboo_ biboo_ - Membre confirmé https://www.developpez.com
le 02/10/2009 à 9:29
Je suis sidéré par le génie de certains.. ça ferait presque peur.
Avatar de sshpcl2 sshpcl2 - Membre régulier https://www.developpez.com
le 02/10/2009 à 10:48
pour le descriptif de la technique utilisé ::

http://www.finjan.com/MCRCblog.aspx?EntryId=2213

vicieux ...
Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior https://www.developpez.com
le 02/10/2009 à 18:03
Citation Envoyé par sshpcl2  Voir le message
pour le descriptif de la technique utilisé ::

http://www.finjan.com/MCRCblog.aspx?EntryId=2213

vicieux ...

Merci pour le lien !

Je l'ai rajouté à l'article.

Cordialement,

Gordon
Offres d'emploi IT
Développeur Web FULL-STACK
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
Développeur WEB PHP F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)
RESPONSABLE WEB ANALYTICS F/H
VACALIANS GROUP - Languedoc Roussillon - SETE (34)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil