{"id":2054,"date":"2013-11-29T15:40:52","date_gmt":"2013-11-29T15:40:52","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=2054"},"modified":"2020-02-26T15:45:26","modified_gmt":"2020-02-26T15:45:26","slug":"neverquest-un-cheval-de-troie-concu-pour-voler-des-centaines-de-banques","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/neverquest-un-cheval-de-troie-concu-pour-voler-des-centaines-de-banques\/2054\/","title":{"rendered":"Neverquest, un cheval de Troie con\u00e7u pour voler des centaines de banques"},"content":{"rendered":"

Neverquest<\/a> est un nouveau cheval de Troie<\/a> qui se r\u00e9pand via les r\u00e9seaux sociaux, les e-mails, et les protocoles de transfert de fichiers. Il a la capacit\u00e9 de reconnaitre des centaines de sites bancaires et financiers. Quand un utilisateur infect\u00e9 essaie de s\u2019authentifier sur l\u2019un des sites auxquels le cheval de Troie r\u00e9agit, ce dernier s\u2019active et vole les identifiants de ses victimes.<\/p>\n

Neverquest renvoie alors les identifiants vol\u00e9s \u00e0 un serveur de commande et de contr\u00f4le. Ensuite, les pirates peuvent utiliser les identifiants pour rentrer dans les comptes infect\u00e9s via un VNC<\/a> (Virtual Network Computing). Un VNC est essentiellement un syst\u00e8me informatique partag\u00e9 qui permet aux criminels d\u2019utiliser l\u2019ordinateur de la victime pour acc\u00e9der au compte bancaire en ligne de celle-ci et lui voler son argent. Il est presque impossible pour les banques de diff\u00e9rencier les utilisateurs des cybercriminels.<\/p>\n

D\u00e9couvert la semaine derni\u00e8re par Kaspersky Lab<\/a>, le cheval de Troie a infect\u00e9 des milliers d\u2019ordinateurs mais, comme l\u2019expert en malwares Sergey Golovanov l\u2019explique, il a le potentiel de faire bien plus de d\u00e9g\u00e2ts pendant les f\u00eates de fin d\u2019ann\u00e9e \u00e0 cause de ses fonctionnalit\u00e9s de reproduction efficaces et versatiles. D\u2019ailleurs, en 2009, le malware Bredolab a utilis\u00e9 les m\u00eames m\u00e9thodes de distribution que Neverquest utilise actuellement. Bredolab a fini par devenir le troisi\u00e8me malware le plus utilis\u00e9 sur Internet.<\/p>\n

\u00ab\u00a0Quand un utilisateur infect\u00e9 visite l\u2019un des sites sur la liste, le malware contr\u00f4le la connexion avec le serveur\u00a0\u00bb, a expliqu\u00e9 Golovanov dans une analyse sur Securelist. \u00ab\u00a0Les utilisateurs malveillants peuvent obtenir les noms d\u2019utilisateur et les mots de passe saisis par l\u2019utilisateur et modifier le contenu des pages Web. Toutes les donn\u00e9es saisies par l\u2019utilisateur seront entr\u00e9es dans la page Web modifi\u00e9e et transmises aux utilisateurs malveillants.\u00a0\u00bb<\/p>\n

Le cheval de Troie a le potentiel pour faire bien plus de d\u00e9g\u00e2ts pendant les f\u00eates de fin d\u2019ann\u00e9e \u00e0 cause de ses fonctionnalit\u00e9s de reproduction efficaces et versatiles.<\/div>\n

Une fois que le pirate a le contr\u00f4le du compte de sa victime, il peut le vider compl\u00e8tement vers un compte qu\u2019il contr\u00f4le. Dans de nombreux cas n\u00e9anmoins, Golovanov a remarqu\u00e9 que les pirates d\u00e9placent l\u2019argent \u00e0 travers une s\u00e9rie de comptes pirat\u00e9s. Ainsi, il transvase de l\u2019argent du compte d\u2019une victime vers un autre et r\u00e9p\u00e8te ce proc\u00e9d\u00e9 plusieurs fois avant d\u2019obtenir directement l\u2019argent eux-m\u00eames afin que leurs activit\u00e9s soient plus difficiles \u00e0 traquer.<\/p>\n

Neverquest est en vente sur au moins un forum du march\u00e9 noir. Il semble seulement affect\u00e9 les utilisateurs qui naviguent avec Internet Explorer et Mozilla Firefox, mais les cr\u00e9ateurs de Neverquest se vante du fait qu\u2019il peut \u00eatre modifi\u00e9 pour attaquer \u00ab\u00a0n\u2019importe quelle banque au monde\u00a0\u00bb.<\/p>\n

Le malware contient une fonctionnalit\u00e9 qui recherche les mots cl\u00e9s li\u00e9s \u00e0 certains syst\u00e8mes bancaires alors que l\u2019utilisateur infect\u00e9 surfe sur le Web. Si un utilisateur visite un site qui inclut ces mots cl\u00e9s, le cheval de Troie s\u2019active et commence \u00e0 intercepter les communications des utilisateurs et \u00e0 les renvoyer aux pirates. Si le site que la victime visite est celui d\u2019une banque, les pirates ajoutent ce site \u00e0 la liste des sites sur lesquels Neverquest s\u2019activera automatiquement. Cette mise \u00e0 jour est ensuite envoy\u00e9e via l\u2019infrastructure de commande et contr\u00f4le de Neverquest vers toutes les autres machines infect\u00e9es.<\/p>\n

Fidelity.com, le site Web de l\u2019une des soci\u00e9t\u00e9s de fonds communs de placement les plus importantes au monde, est l\u2019une des cibles principales du cheval de Troie selon le rapport.<\/p>\n

\u00ab\u00a0Son site Web offre aux clients une longue liste de m\u00e9thodes pour g\u00e9rer leurs finances en ligne,\u00a0\u00bb Golovanov a \u00e9crit sur Securelist. \u00ab\u00a0Cela donne aux utilisateurs malveillants la chance de transf\u00e9rer des fonds en liquide vers leurs propres comptes mais aussi de jouer en bourse, en utilisant les comptes et l\u2019argent de victimes du cheval de Troie.\u00a0\u00bb<\/p>\n

Neverquest est \u00e9galement con\u00e7u pour commencer \u00e0 collecter des donn\u00e9es quand un utilisateur infect\u00e9 visite des sites qui ne sont pas bancaires, y compris Google, Yahoo, Amazon AWS, Facebook, Twitter, Skype et bien d\u2019autres.<\/p>\n

\u00ab\u00a0Les semaines qui pr\u00e9c\u00e8dent No\u00ebl et le nouvel an sont traditionnellement une p\u00e9riode d\u2019activit\u00e9 malveillante intense\u00a0\u00bb, a \u00e9crit Golovanov. \u00ab\u00a0D\u00e8s le mois de Novembre, Kaspersky Lab a d\u00e9tect\u00e9 des posts sur des forums dans lesquels les pirates parlaient d\u2019acheter et de vendre des bases de donn\u00e9es pour acc\u00e9der aux comptes en banques et autres documents utilis\u00e9s pour ouvrir et g\u00e9rer les comptes vers lesquels les fonds vol\u00e9s sont transf\u00e9r\u00e9s. Nous pouvons nous attendre \u00e0 observer des attaques de\u00a0 Neverquest en masse vers la fin de l\u2019ann\u00e9e, ce qui pourrait conduire d\u2019autres utilisateurs \u00e0 devenir les victimes de vols d\u2019argent en ligne.\u00a0\u00bb<\/p>\n

Il a ensuite ajout\u00e9 :<\/p>\n

\u00ab\u00a0La protection contre les menaces telles que Neverquest requiert bien plus qu\u2019un antivirus classique. Les utilisateurs ont besoin d\u2019une solution qui assure la s\u00e9curit\u00e9 des transactions<\/a>. La solution doit \u00eatre capable de contr\u00f4ler le processus de fonctionnement des navigateurs et emp\u00eacher toute manipulation command\u00e9e par une autre application\u00a0\u00bb.<\/p>\n

Heureusement, Kaspersky Lab dispose d\u2019une telle technologie : Safe Money<\/a> est disponible dans Kaspersky Internet Security<\/a> et Kaspersky Pure<\/a>, et prot\u00e8ge les interactions des utilisateurs avec des sites bancaires, en s\u2019assurant notamment que les connexions chiffr\u00e9s sont bien s\u00e9curis\u00e9es et qu\u2019aucun groupe externe ne contr\u00f4le le navigateur Internet.<\/p>\n","protected":false},"excerpt":{"rendered":"

Neverquest est un nouveau cheval de Troie qui se r\u00e9pand via les r\u00e9seaux sociaux, les e-mails, et les protocoles de transfert de fichiers. Il a la capacit\u00e9 de reconnaitre des<\/p>\n","protected":false},"author":32,"featured_media":2055,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686],"tags":[161,155,510,61],"class_list":{"0":"post-2054","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"tag-cheval-de-troie","10":"tag-malware-2","11":"tag-neverquest","12":"tag-securite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/neverquest-un-cheval-de-troie-concu-pour-voler-des-centaines-de-banques\/2054\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/cheval-de-troie\/","name":"cheval de troie"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2054","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=2054"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2054\/revisions"}],"predecessor-version":[{"id":14050,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/2054\/revisions\/14050"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/2055"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=2054"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=2054"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=2054"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}