Il est loin le temps où les quelques applications malveillantes existantes étaient simplement destinées à faire une blague à des collègues. La situation a bien évolué et des menaces conçues à des fins lucratives sont apparues, comme celle présentée ci-dessous.

Ne nous fiez pas aux apparences, le téléchargeur de 72 Ko nommé Trojan.Downloader.Carberp.A est dévastateur. Il intercepte, manipule et dérobe les informations confidentielles qu’un utilisateur est susceptible d’envoyer ou de recevoir sur Internet. Pire encore, il intercepte des identifiants de connexion de sites requérant l’ouverture d’une session sécurisée par SSL, que ce soit des services bancaires, des webmails ou d’autres services exigeant une authentification. Les technologies SSL et HTTPS, conçues à l’origine pour protéger les utilisateurs des indiscrets, font de ces utilisateurs des cibles du cheval de Troie. Trojan.Downloader.Carberp.A ne se contente pas de garder un œil sur tous les services suffisamment importants pour nécessiter une authentification SSL ; il surveille également une liste de sites web contenant plusieurs portails de services bancaires en ligne.

Comment se produit l’infection ?

Une fois exécuté sur l’ordinateur, Trojan.Downloader.Carberp.A crée plusieurs fichiers temporaires dans le dossier %temp%, avant de se copier dans le dossier Démarrage de Windows pour être exécuté à chaque (re)démarrage de l’ordinateur. La technique peut sembler rudimentaire en comparaison avec celle utilisée par d’autres familles de malwares qui ajoutent des entrées de démarrage au Registre. C’est pourtant ce qui permet à Trojan.Downloader.Carberp.A de s’exécuter sur les systèmes d’exploitation les plus récents, ou lors de sessions d’utilisateurs ne disposant pas des privilèges administrateur. Juste après l’infection, le téléchargeur se connecte à un serveur de commande et de contrôle, à partir duquel il télécharge un fichier de configuration chiffré, ainsi que des plugins pour intercepter tout trafic Internet et désactiver tout antivirus détecté sur l’ordinateur venant d’être infecté. En retour, Trojan.Downloader.Carberp.A envoie au serveur de commande et de contrôle un identifiant unique et transmet une liste des processus en cours d’exécution via une requête GET.

Après s’être copié dans le dossier de démarrage sous le nom de « syscron.exe » ou « chkntfs.exe », il masque sa présence à l’aide de hooks dans ntdll.dll afin d’intercepter tout appel vers NtQueryDirectoryFile et ZwQueryDirectoryFile, ce qui en conséquence empêche l’utilisateur de voir ces fichiers avec Windows® Explorer® ou la requête en ligne de commande dir.

En utilisant certains hooks dans le navigateur Internet local, ce téléchargeur malveillant intercepte les identifiants de connexion de la victime et les envoie vers un serveur de commande et de contrôle au moment où l’utilisateur se connecte via une session SSL.

Ce cheval de Troie a deux objectifs :

• D’une part, toute session d’authentification SSL permettant l’accès à des services bancaires en ligne et des comptes de réseaux sociaux peut être interceptée et les données confidentielles dérobées, puisqu’à chaque fois qu’une personne ouvre une session, Trojan.Downloader.Carberp.A dérobe les identifiants de connexion (avant même qu’ils ne soient chiffrés) et les envoie au serveur C&C via HTTP. Au moment où la demande de connexion atteint la banque, les identifiants de connexion seront, malheureusement, déjà entre les mains des attaquants.

• D’autre part, Trojan.Downloader.Carberp.A cible également certaines banques (en Allemagne, au Danemark, aux Pays-Bas, aux États-Unis et en Israël) selon les indications précises qu’il reçoit du serveur C&C avec les instructions de configuration.

Cette version sophistiquée des attaques désormais classiques de « l’homme du milieu » constitue un outil lucratif destiné à dérober de l’argent aux utilisateurs de services en ligne et aux PME. Trojan.Downloader.Carberp.A peut également s’installer sans privilèges administrateur et attaquer des systèmes disposant des systèmes d’exploitation les plus récents. Il n’apporte aucune modification au Registre.

Les utilisateurs de BitDefender ont été protégés dès l’apparition de cette menace via des routines génériques déjà intégrées dans la base de signatures. Si vous n’êtes pas protégé par un produit BitDefender, vous pouvez télécharger l’outil de désinfection gratuit dans la section Téléchargements afin de savoir si vous êtes infecté. Il est également possible d’exécuter une analyse QuickScan de 60 secondes afin de voir si votre système contient d’autres malwares dont vous n’avez peut-être pas conscience.

 

Note : Tous les autres noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.