le 25 septembre 2018

Les chevaux de Troie bancaires modernes utilisent une variété de techniques pour voler de l'argent des comptes de leurs victimes, notamment des méthodes exploitant la crédulité des utilisateurs. Le Trojan bancaire détecté par les analystes de Doctor Web qui est le sujet de notre publication menace les utilisateurs des systèmes de banque en ligne au Brésil. A ce jour, plus de 300 échantillons uniques du Trojan ont été identifiés, ainsi que plus de 120 serveurs qu'il utilise, et sa propagation continue.

Le Trojan ajouté aux bases virales Dr.Web sous le nom Trojan.PWS.Banker1.28321 est diffusé en se faisant passer pour le logiciel Adobe Reader, destinée à lire les documents PDF. Au démarrage, il affiche une fenêtre avec le logo de cette application.

Le programme malveillant tente de déterminer si le faux logiciel fonctionne dans un environnement virtuel, si c'est le cas, il cesse de fonctionner. Le Trojan bancaire analyse les paramètres de langue Windows et si la langue système est autre que le portugais, le Trojan n'effectue aucune action.

Le module de téléchargement du Trojan.PWS.Banker1.28321 représente un script en langage VBScript, tandis que le Trojan même est écrit en .Net. Le script downloader est exécuté à l'aide de l'objet standard COM MSScriptControl.ScriptControl. Il se connecte au serveur de gestion depuis lequel il télécharge deux fichier ZIP, l'un des deux contenant une bibliothèque dynamique obfusquée créée en utilisant l'environnement Delphi. C'est cette bibliothèque qui contient les fonctions clés du malware.

Lorsque les utilisateurs ouvrent des sites de banques en ligne, le Trojan.PWS.Banker1.28321 substitue discrètement la page web en affichant un faux formulaire de saisie des identifiants et dans certains cas, il demande de saisir le code de confirmation reçu de la banque concernée par SMS. Puis il transmet ces informations aux pirates.

Un schéma similaire de substitution du contenu des pages web des systèmes banque-client est exploité par beaucoup de Trojans bancaires. Souvent, ils menacent les clients des établissements de crédit, non seulement au Brésil, mais dans le monde entier. Le mois dernier, les experts de Doctor Web ont révélé plus de 340 échantillons du Trojan.PWS.Banker1.28321 et détecté 129 domaines et adresses IP de sites appartenant aux pirates et depuis lesquels le Trojan télécharge des archives contenant la bibliothèque malveillante. Ceci montre que la propagation de ce Trojan bancaire a une grande envergure. Des informations sur tous les échantillons connus de Trojan.PWS.Banker1.28321 ont été ajoutées aux bases de données virales Dr.Web, et les adresses des serveurs qu'il utilise ont été ajoutées aux bases de l'antivrus web SpIDer Gate, ainsi ce Trojan ne représente aucun danger pour nos utilisateurs.

Plus d'infos sur ce Trojan

#banker #Trojan bancaire #Trojan