Le laboratoire de recherche du quartier général d’ESET, spécialisé
en maliciels, a découvert un nouveau cheval de Troie bancaire, très efficace,
qui prend pour cible les utilisateurs de services bancaires en ligne, en Europe
et en Asie. Sous le couvert de campagnes de diffusion particulièrement
crédibles concernant des organisations dignes de confiance, pour tromper ses
victimes et les amener à utiliser le maliciel. Cette menace, révélée tout
récemment, a déjà eu pour effet de délester plusieurs victimes de leurs avoirs
financiers.
En s’appuyant sur des données
LiveGrid® - le système de collecte de maliciels, basé cloud, d’ESET -,
plusieurs centaines de contaminations ont ainsi pu être détectées en Turquie et
plusieurs dizaines d’autres en République tchèque, au Royaume-Uni et au
Portugal. Ce maliciel bancaire sophistiqué et très puissant, baptisé Hesperbot,
se propage par le biais de courriels de type hameçonnage (phishing) et tente
également d’infecter des équipements mobiles fonctionnant sous Android, Symbian
et Blackberry.
Cette menace Win32/Spy.Hesperbot
se caractérise par un potentiel d’enregistrement de frappes, est capable de
générer des captures d’écran d’ordinateur de bureau et des captures vidéo, et
active un proxy distant. Il inclut également un certain nombre de pièges plus
élaborés, tels que la création d’une connexion à distance masquée vers le
système infecté.
“En analysant cette menace, nous
nous sommes aperçus que nous avions affaire à un cheval de Troie bancaire qui
présente des fonctions similaires et poursuit des objectifs identiques à ceux
des tristement célèbres Zeus et SpyEye. Toutefois, quelques différences
notoires dans le mode d’implémentation indiquent qu’il s’agit là d’une nouvelle
famille de maliciels et non d’une variante d’un cheval de Troie déjà
identifié”, déclare Robert Lipovsky, chercheur d’ESET spécialisé en maliciels,
qui dirige l’équipe chargée d’analyser la nouvelle menace. “Les produits
d’ESET, tels que les ESET Smart Security et ESET Mobile Security, apportent une
protection contre ce maliciel”, ajoute-t-il.
Les auteurs de l’attaque visent à
obtenir les identifiants de connexion qui leur donneront accès au compte
bancaire de la victime, amenant par ailleurs cette dernière à installer un
composant mobile du maliciel sur son téléphone Symbian, Blackberry ou Android.
La campagne de maliciels tchèque
a débuté le 8 août 2013. Les auteurs de l’attaque ont enregistré le nom de
domaine www.ceskaposta.net, qui est fort proche du nom du
véritable site Internet de la Poste tchèque. “Il n’y a sans doute rien
d’étonnant à ce que les auteurs de l’attaque aient tenté d’amener leurs
victimes potentielles à ouvrir le maliciel en leur envoyant des courriels-hameçons
ayant toutes les apparences d’informations de suivi de colis émanant de la
Poste. Cette technique a déjà été utilisée à de maintes reprises par le passé”,
souligne Robert Lipovsky. Les services tchèques de la Poste ont réagi très
rapidement en publiant, sur leur site Internet, une mise en garde à propos de
cette tentative d’escroquerie.
Actuellement, la Turquie est le
pays le plus touché par ce cheval de Troie bancaire. Les détections de
Hesperbot y sont même antérieures au 8 août et des recrudescences récentes dans
les activités de réseaux de zombies (botnets) ont ainsi été observées en
juillet 2013 mais ESET a également trouvé des échantillons plus anciens qui
remontent au moins au mois d’avril de cette année. Le courriel-hameçon qui a
été envoyé à des victimes potentielles était censé être une facture. Une
variante du maliciel a également été trouvée, maraudant sur Internet. Son
intention était de viser des utilisateurs informatiques au Portugal et au
Royaume-Uni.