le 7 novembre 2013

Doctor Web alerte sur la diffusion d'un programme malveillant ciblant les utilisateurs de SAP. Cette application malveillante est un représentant d'une famille de Trojans bancaires, Trojan.PWS.Ibank, capables de voler les mots de passe et d’autres données confidentielles.

Les spécialistes de Doctor Web ont étudié cette menace. Comparé à d'autres logiciels malveillants de la famille Trojan.PWS.Ibank, cette version présente une modification de la structure du bot, ainsi que des changements dans les mécanismes de communication inter processus (CIP), le sous-système SOCKS5 a été aboli. En revanche, l'algorithme de cryptage, le chargeur du code malveillant empaqueté dans une bibliothèque de lien dynamique séparée et le protocole de communication avec le serveur des malfaiteurs n'ont pas changé.

Le module d'installation peut détecter la tentative de lancer le logiciel malveillant en mode débogage ou sur une machine virtuelle afin de rendre difficile son analyse par les spécialistes antivirus. Il vérifie également s’il est lancé dans Sandboxie. Ce Trojan peut fonctionner dans les versions 32-bits et 64-bits de Windows, en utilisant différents moyens de pénétration dans le système d'exploitation. Le module principal du Trojan est capable d’exécuter deux nouvelles commandes (par rapport aux versions précédentes du Trojan.PWS.Ibank) : l'une d'entre elles peut activer/désactiver le blocage des clients bancaires, l'autre permet d'obtenir depuis le serveur de gestion un fichier de configuration.

Le Trojan.PWS.Ibank est capable de s'intégrer dans les processus en exécution et sa nouvelle version peut vérifier les noms des applications lancées, y compris le client SAP. SAP comprend un certain nombre de modules pour gérer des données fiscales et financières, il traite donc les données sensibles de l'entreprise. La première version du Trojan, qui détecte SAP dans le système infecté, a été découverte en juin : elle a été ajoutée à la base virale Dr.Web sous le nom Trojan.PWS.Ibank.690, la version actuelle porte le nom Trojan.PWS.Ibank.752. Rappelons que les Trojan.PWS.Ibank peuvent exécuter les fonctionnalités malveillantes suivantes :

• le vol et le transfert de mots de passe aux attaquants;
• le blocage de l'accès aux sites des éditeurs antivirus ;
• l'exécution de commandes provenant d'un serveur distant ;
• le lancement d’un serveur proxy et d’un serveur VNC sur l'ordinateur infecté;
• l’endommagement du système d'exploitation ou des secteurs d'amorçage du disque.

L'intérêt des attaquants pour les logiciels SAP et les ERP inquiète les spécialistes de la sécurité informatique : en utilisant ces technologies, les attaquants peuvent voler les données sensibles traitées par ces logiciels.

Cependant, les Trojans de la famille Trojan.PWS.Ibank ne tentent pas de détruire SAP. Ils détectent sa présence dans le système et essaient d’injecter leur code au processus correspondant. Il est possible que les malfaiteurs travaillent pour le futur.