Revue sur les malwares : Trojan.Keylogger.IStealer

b2cblog

Juillet 01, 2010

Promo Un seul produit pour protéger tous vos appareils, sans les ralentir.
Essai gratuit de 30 jours
Revue sur les malwares : Trojan.Keylogger.IStealer

 

Voici comment j'ai fait la connaissance de Trojan.Keylogger.IStealer.
 
Alors que je recherchais du code open-source posté sur certaines pages web, du  contenu suspect a commencé à apparaître : des mots de passe de Messagerie Instantanée ou de Facebook, et des informations détaillées sur l'historique de navigation d'utilisateurs peu méfiants se sont retrouvés exposés à la vue de tous. Cette base de données trop personnelles ne pouvait qu'être liée à l'activité illégale d'un keylogger. Ayant déjà abordé ce sujet en début de mois, j'ai décidé de m'intéresser un peu plus aux keyloggers connus de BitDefender et j'ai trouvé quelque chose de mieux encore : Trojan.Keylogger.IStealer.
 
Trojan.Keylogger.IStealer est un outil conçu pour aider les personnes ayant besoin d'un keylogger. En fait, il ne s'agit pas d'un keylogger traditionnel mais plutôt d'un outil recueillant les mots de passe saisis et les envoyant à un compte d'hébergement web dans les nuages.
 
Cela permet aux cybercriminels d'utiliser des logiciels sur mesure, répondant entièrement à leurs besoins.
 
Ne vous méprenez pas, il ne s'agit pas de keyloggers en vente dans le commerce, proposés par différents éditeurs de logiciels légitimes et utilisés à des fins de contrôle parental ou de surveillance dans les réseaux d'entreprises. 
Trojan.Keylogger.iStealer ne possède pas de programme d'installation, rien n'indique que l'ordinateur est activement surveillé, et rien ne pourrait justifier une intention légitime.
 
Au lieu de cela, il permet au keylogger généré d'être lié à une autre application, un kit logiciel légitime, qui peut, par exemple, être transmis par messagerie ou via un service de partage de fichiers. Imaginez qu'un ami vous propose le dernier pack de pilotes pour  votre carte vidéo, qui déploie également cette petite merveille bien pensée. Si vous n'avez pas de solution antivirus, vous ne remarquerez rien.
 
Cette approche permet d'économiser de l'énergie, du temps et de l'argent. La personne mal intentionnée n'a pas besoin de faire part de ses projets à un autre individu, ni de demander à quelqu'un de concevoir un « outil » répondant à ses besoins. Quoi de mieux qu'un kit logiciel à monter soi-même ?
Ainsi, une fois Trojan.Keylogger.IStealer entre de « bonnes » mains, la personnalisation malveillante peut commencer : 
 
  • l'adresse web de rappel peut être personnalisée afin que les rapports soient dirigés directement vers le compte d'hébergement web du cybercriminel 
  • le kit comprend aussi la page PHP à déployer sur l'URL indiquée
  • le Cheval de Troie iStealer dispose également de nombreux mécanismes d'auto-protection, destinés à le protéger contre l'analyse dynamique et statique : routines anti-émulateur, anti-débogueur, anti-surveillance des processus, la capacité de s'exécuter d'une façon extrêmement silencieuse lorsque des applications de surveillance réseau sont détectées et la capacité d’auto-détruire son fichier d'origine une fois l'invasion réussie. 
 
 
Keylogger - Cheval de Troie - Bitdefender
 
Fig 1. Le panneau de configuration du keylogger
 
L’URL où les données d’authentification volées sont envoyées
Application légitime utilisée pour cacher le cheval de Troie
 

L’utilisation du cache

Dès que le cheval de Troie se trouve sur l’ordinateur de la victime, cet outil personnalisé recherche les fichiers en cache et recueille tous les noms d’utilisateur et mots de passe saisis à partir de ce système particulier. Il est intéressant de noter que Trojan.Keylogger.IStealer recueille des informations d’identification saisies bien avant que le cheval de Troie malveillant n’infecte l’ordinateur. 
 
 
 
Fig 2. Les informations d’identification sont postées sur la page web à distance
 
Le keylogger classique est un cheval de Troie conçu pour surveiller les frappes au clavier de l’utilisateur dont le système a été infecté au préalable. L’objectif est simple et unique : l’argent facile. Données de connexion bancaires, identifiants de boutiques en ligne, et, en fait, toutes sortes d’informations d’identification sont conservées par le keylogger.
 
De plus, ce malware ne se contente pas d’enregistrer ces informations, il les envoie également à l’auteur du malware, qui en tire profit.
 
Le cheval de Troie iStealer peut récupérer les mots de passe mis en cache d’un grand nombre d’applications : 
 
  1. Services de Messagerie Instantanée : MSN Messenger®, Google™ Talk, Trillian, Pidgin, Paltalk
  2. Navigateurs : Firefox®, Internet Explorer® (y compris la version no. 8), Opera et Google™ Chrome
  3. Applications de transfert FTP : CuteFTP, FileZilla, SmartFTP, FlashFXP
  4. Fournisseurs de DNS : NO-IP et DynDNS
  5. Autres applications d’intérêt : Steam, Internet Download Manager
 
Ces données sont normalement transmises par e-mail ou par des services FTP, mais cette approche n’est ni discrète ni sûre et c’est pourquoi les cybercriminels ont adopté une méthode plus astucieuse, en ne recueillant que les données intéressantes, comme les mots de passe et les noms d’utilisateurs et en les rassemblant sur des emplacements publics, c’est-à-dire sur certaines pages web créées avec des fournisseurs d’hébergement anonyme et gratuit.
 
Les choses ont encore évolué et ce ne sont plus les frappes au clavier qui sont surveillées : désormais, les ouvertures de session mises en cache sont observées, listées et publiées sur des emplacements anonymes dans les nuages. 
 
Tous les noms de produits ou d’entreprises mentionnés dans ce document le sont à titre purement informatif et sont la propriété, et éventuellement les marques, de leurs propriétaires respectifs.
 

tags


Auteur



Vous pourriez également aimer

Marque-pages


loader