Nouvelle campagne de phishing PayPal™, Abbey et Halifax

La dernière campagne de phishing ciblant les utilisateurs de services bancaires et de paiements en ligne comporte plusieurs éléments caractéristiques des malwares. D'abord, le message non sollicité diffusant le malware prétend proposer la meilleure Solution Antivirus Open Source et demande aux utilisateurs de visiter une page Web où ils peuvent télécharger le produit.

Pourtant, une fois que l'utilisateur a cliqué sur le lien, il ne reçoit pas la suite de sécurité promise, mais un faux exécutable, setup.exe, une archive auto-extractible. Son but est de remplacer le contenu de  C:\WINDOWS\System32\drivers\etc et de modifier le comportement du navigateur Web, en chargeant automatiquement des pages Web spécialement conçues à des fins de phishing imitant les sites de PayPal, Abbey et Halifax.

Puis, à chaque fois que l'utilisateur tape dans son navigateur une adresse appartenant à l'une de ces institutions financières, il est automatiquement redirigé vers les fausses pages. Ses données d'authentification (nom d'utilisateur, mot de passe, code de sécurité) et d'autres données sensibles  (nom, prénom, adresse e-mail, adresse postale, numéro et date d'expiration de la carte, code de vérification de la carte et même, le code confidentiel) sont récupérées via des scripts PHP. Toutes les autres options du menu disponibles sur les pages redirigent l'utilisateur vers les sections appropriées du véritable site Web. L'analyse a révélé que ces fausses pages Web se chargeaient à partir de domaines enregistrés en Chine et en Corée.