Les chevaux de Troie bancaires les plus importants

21 Oct 2013

Les chevaux de Troie bancaires sont comme les rats : si vous mettez un coup de pied dans une poubelle, six en sortiront et se faufileront partout. Vous entendrez parler de la plupart d’entre eux une fois puis ils disparaîtront. Mais il existe quatre chevaux de Troie qui semblent ne jamais disparaître : Carberp, Citadel, SpyEye et surtout ZeuS. Le problème logistique avec ces chevaux de Troie est que nous pouvons parfois les trouver en train de réaliser d’autres actes malveillants. Tout est compliqué dans les bas fonds pitoyables de la cybercriminalité mais, mise à part la logistique, chacun de ces logiciels malveillants représente un réel problème : ils sont très doués pour voler nos informations bancaires en ligne.

trojans_title (1)

Il est difficile d’écrire un article captivant sur ces différents chevaux de Troie car ils font pratiquement tous la même chose. Mais voici néanmoins une présentation des quatre chevaux de Troie les plus prolifiques, du moins célèbre au plus célèbre :

Carberp

La version originale de Carberp ressemblait à un cheval de Troie typique. Elle était conçue pour voler les données sensibles des utilisateurs telles que les identifiants bancaires en ligne et autres identifiants liés à des sites de valeur. Carberp renvoyait les informations volées à un serveur de commande et contrôle (C&C). Simple et directe. Le seul composant délicat était la fonctionnalité rootkit, permettant au cheval de Troie de passer inaperçu dans le système de la victime. La nouvelle génération de Carberp a ajouté des plug-ins  : un qui supprimait les logiciels anti-virus des ordinateurs infectés et un autre qui essayait de tuer les autres virus (s’il y en avait).

Les choses sont devenues plus intéressantes quand ses créateurs ont donné au cheval de Troie la capacité de chiffrer les données volées alors qu’elles étaient transmises des ordinateurs infectés vers les serveurs C&C. Selon les chercheurs, Carberp est le premier malware à avoir utilisé un système de chiffrement généré au hasard plutôt qu’une clé statique.

Carberp a ensuite commencé à travailler en association avec le kit d’exploitation des « blackhole » le plus célèbre, générant ainsi une importante augmentation du nombre d’infections. Tout allait bien pour Carberp et ses créateurs. Ils avaient même réussi à développer un module Carberp sur Facebook qui essayait de piéger les utilisateurs avec des bons d’argent virtuels par une attaque utilisant un ransomware.

À partir de là, les choses ont commencé à se dégrader. Les autorités russes ont pincé huit individus soupçonnés de contrôler le malware, mais Carberp n’est pas mort pour autant : nous n’avons pas observé de diminution des tentatives d’attaques de Carberp ni de diminution du nombre d‘arrestations. Les criminels cherchant à déployer l’outil devait payer 40 000 $ pour y accéder jusqu’à ce que son code source soit publié l’année dernière, permettant à presque n’importe qui doté du savoir-faire nécessaire d’accéder au cheval de Troie.

Citadel

Le cheval de Troie Citadel est une variation du roi des malwares financiers : Zeus. Il est apparu, accompagné de bien d’autres chevaux de Troie, après que le code source de Zeus soit diffusé en 2011. L’importance de Citadel vient des ses créateurs et de leur choix original d’adopter un modèle de développement à sources ouvertes qui permettait à tout le monde de réviser son code et de l’améliorer (le rendant encore plus dangereux).

Le groupe ou les groupes de criminels responsables de Citadel ont développé une communauté de consommateurs et de collaborateurs partout dans le monde, qui suggèrent de nouvelles fonctionnalités pour le malware, d’autres codes et des modules, formant une sorte de réseau social criminel. Certaines de ses capacités les plus fascinantes incluent le chiffrement AES des fichiers de configuration et la communication avec un serveur C&C, la capacité d’échapper aux sites de pistage ou à bloquer l’accès aux sites de sécurité aux ordinateurs de la victime et une fonctionnalité permettant d’enregistrer des vidéos des activités des victimes.

Le réseau de collaborateurs de Citadel a continué d’ajouter de nouvelles fonctionnalités dynamiques au cheval de Troie, le rendant plus flexible et rapide, jusqu’à ce que les cybercriminels commencent à l’utiliser pour toutes sortes de vol d’identifiants.

Citadel a connu beaucoup de succès jusqu’à ce que Microsoft, et une coalition d’autres compagnies, lancent une opération qui a permis de désactiver 88% de ses infections.

SpyEye

Celui-ci était supposé être le cheval de Troie bancaire concurrent de Zeus. En fin de compte, SpyEye a été comme tous ceux qu’on croyait héritiers du talent de Zinédine Zidane : ils avaient du style, ils avaient du potentiel, mais ils n’ont pas réussi à détrôner le roi. Zeus est le roi, c’est incontestable, et SpyEye a vite disparu de la circulation.

Certaines parties de l’opération botnet de SPyEye ont fusionné avec celles de Zeus afin de créer un botnet bancaire géant, mais il a finalement finit par disparaître, n’étant pas à la hauteur de sa réputation. Il a néanmoins connu quelques succès. Les pirates ont déployé SpyEye dans une attaque ciblant le site de facture en ligne de Verizon afin de dérober les informations personnelles et financières des utilisateurs et ce pendant plus d’une semaine avant d’être remarqué. Il est apparu sur le service Amazon S3 en utilisant le fournisseur cloud comme une plateforme d’attaque et il est apparu sur les appareils Android. Une série d’arrestations et peut-être un manque d’efficacité ont mis fin à la course de SpyEye.

Au cour de l’été 2012, trois hommes des pays baltiques ont été arrêtés en Thaïlande et extradés vers les États-Unis pour avoir utilisé SpyEye afin de mener une opération de vol d’informations bancaires extrêmement organisée. En mai de cette année, un développeur de SpyEye a été arrêté en Thaïlande et extradé vers les États-Unis, où il fait face à plus de 30 chefs d’accusation pour l’utilisation de botnet et fraude bancaire.

Depuis, nous n’entendons plus vraiment parler de SpyEye.

ZeuS

Et ensuite, il y a ZeuS dont le nom vient du roi des dieux de la mythologie grecque. Il est incomparable aussi bien en matière de portée qu’au niveau de son utilisation et de son efficacité. Depuis que son code source a été diffusé en 2011, il semble que presque tous les chevaux de Troie bancaires comportent un petit quelque chose de Zeus. Parmi eux, seul ZeuS est assez célèbre pour disposer de sa propre page Wikipedia. Sur Threatpost, on trouve en tout 22 pages contenant chacune dix articles faisant référence au cheval de Troie ZeuS. On pourrait écrire un roman aussi long que ceux de Tolstoï ou Proust sur ses manigances, il est donc presque impossible de résumer brièvement cette menace, mais nous vous donnerons quand même quelques points-clé.

Il est apparu en 2007, après avoir été utilisé dans un attaque de vol d’identifiants ciblant le Département des transports américains. Depuis, ZeuS a infecté des dizaines de millions de machines et a participé au vol de centaines de millions de dollars jusqu’à ce que son créateur abandonne, en 2011, en publiant le code source du malware en ligne. Des centaines d’individus ont purgé ou purge actuellement des peines de prison pour leur implication dans des arnaques utilisant ZeuS.

Ce fut l’un des premiers malwares vendu via une licence. Avant que son code source ne soit rendu public, ZeuS était le fléau des banques et des grandes entreprises. La liste de ses victimes est bien trop longue à énumérer, mais on y trouve des banques proéminentes, des grandes entreprises et des agences gouvernementales. ZeuS est également connu pour son utilisation innovatrice d’un « petit frère » mobile appelé ZitMo afin de contourner les systèmes d’authentification à deux facteurs utilisant des codes de sécurité fournis via SMS. SpyEye et Carberp ont également développé leurs versions mobiles respectives.

En plus d’être un malware bancaire, Zeus est l’un des malwares les plus populaires, en deuxième place derrière Stuxnet.

La protection

Ces quatre malwares partagent les mêmes propriétés essentielles : ils essaient d’éviter d’être détectés par votre antivirus, ils interceptent les frappes de clavier, les données de navigateur, les fichiers stockés et tout ce qui pourrait les aider à s’introduire dans vos comptes bancaires et à effectuer des transferts d’argent illégaux. Ils essaient même d’installer des malwares sur votre smarthpone afin de permettre aux cybercriminels de voler les codes de sécurité à usage unique qui sont souvent utilisés par les banques pour autoriser des transactions. Si l’on considère les autres types de malwares, les chevaux de Troie bancaires sont ceux qui, potentiellement, infligent le plus de dégâts financiers directs à leurs victimes. C’est pourquoi un logiciel de protection moderne doit inclure des contre-mesures précises contre chaque fonctionnalité des chevaux de Troie bancaires. Kaspersky Lab a rassemblé ces mesures de protection dans sa technologie Safe Money, qui est intégrée dans la dernière version de Kaspersky Pure. Vous pouvez découvrir comment activer Safe Money dans notre section de conseils.