Méfiez-vous des chevaux de Troie

Les chevaux de Troie de type ” Bankers “, sont une famille de codes malveillants conçus pour dérober des informations de connexion liées à des services bancaires (telles que des noms d'utilisateur, des mots de passe, des codes personnels etc.). Extrêmement discrets, ils sont de loin les chevaux de Troie les plus dangereux pour les utilisateurs de services bancaires.

Les chevaux de Troie de type ” bankers ” existent depuis quelque temps et causent toujours d'importants dommages aux comptes bancaires des utilisateurs. Cependant, ceux-ci étant plus difficiles à détecter que les faux antivirus, les utilisateurs d'ordinateurs ont tendance à négliger leur potentiel destructeur.

Contrairement aux keyloggers classiques, capables d'intercepter et de transmettre toutes les frappes des utilisateurs, les chevaux de Troie de type ” bankers ” sont des malwares spécialement conçus qui disposent d 'un sixième sens : ils sont latents la plupart du temps et ne se réveillent que lorsque l'utilisateur fait pointer son navigateur vers des sites bancaires que les programmes malveillants doivent surveiller. Dans ce cas, ceux-ci ont alors recours à plusieurs méthodes pour intercepter les données bancaires saisies et les transmettre aux attaquants.

C'est l'extrême discrétion de ce type de cheval de Troie qui les rend particulièrement difficiles à détecter : ils évitent l'activité supplémentaire de la carte réseau qu'un keylogger provoquerait en transmettant constamment les données interceptées via Internet. De plus, puisqu'ils ne recueillent que deux octets de données par session, ils peuvent envoyer ces éléments en utilisant des requêtes post ou get vers le site web de l'attaquant.

Toutes ces requêtes étant réalisées en tant que trafic HTTP, le cheval de Troie n'a pas à s'inquiéter des ports ou des pare-feux bloqués, ce qui réduit considérablement la possibilité que l'administrateur système détecte le faux paquet sur le réseau. La seule façon de s'apercevoir que quelque chose de suspect se passe avec ces paquets est de surveiller activement le trafic réseau provenant de la machine pendant le court intervalle de temps pendant lequel l'utilisateur consulte le site de services bancaires et appuie sur le bouton ” Envoyer “.

Les chevaux de Troie de type ” bankers ” ont recours à plusieurs méthodes pour obtenir les données. Tout d'abord, seuls quelques exemples malheureux de ce type de chevaux de Troie utilisent des méthodes d'enregistreurs de frappes pour obtenir des données car tout hook clavier est susceptible d'être identifié comme intercepteur de frappes par une solution antivirus et donc d 'être repéré et bloqué avant d'avoir réussi à intercepter et à transmettre les données recherchées.  Ils n'envoient pas non plus d'e-mails pour transmettre les informations obtenues à l'attaquant alors que la plupart des keyloggers utilisent le protocole SMTP. La méthode des keyloggers présente des limites en termes de furtivité car :

a) les ports SMTP 25, 465 et 587 peuvent être réservés aux destinations externes ou requérir des niveaux d'authentification supplémentaires
 et car
b) les paquets SMTP sont assez lourds et peuvent être facilement repérés par des applications de reniflage du réseau que les administrateurs système sont susceptibles d 'installer.

Ces chevaux de Troie se distinguent des keyloggers en réalisant l'un des deux types d'attaques appelées ” l'homme dans le navigateur ” et détournement de navigateur. Le premier type d'attaque est relativement récent ; il intercepte et modifie le contenu HTML envoyé à partir d'un serveur web légitime avant son affichage dans la fenêtre du navigateur.  De cette façon, l'utilisateur n'a aucune raison de penser que ce qu'il voit n'a en fait pas été envoyé par le serveur web de la banque.

Le second type d'attaques est plus ancien et consiste également à intercepter et à manipuler les communications entre le serveur et le client, mais il ne dispose pas des moyens nécessaires pour y parvenir si le serveur distant utilise d'autres éléments d'identification que le nom d 'utilisateur et le mot de passe.

 

Pour obtenir un nom d'utilisateur et un mot de passe de connexion aux services bancaires en ligne, le cheval de Troie installé sur la machine récupère ces données de connexion directement à partir du formulaire de connexion lorsque l'utilisateur les saisit ou place un faux formulaire de connexion sur le véritable formulaire de la banque.

 

Cette approche est particulièrement efficace, même auprès d'utilisateurs expérimentés. Le seul inconvénient de ce type de chevaux de Troie est la taille relativement importante de l'application qui varie entre 100 Ko et plus de 0,5 Mo par fichier.

 

Cependant, si ce téléchargement important peut éveiller les soupçons des personnes accédant à Internet par ligne commutée, il passe inaperçu auprès de celles qui bénéficient d'un accès à haut débit.

 

Soyez également méfiants lorsqu 'on vous demande d 'ouvrir des fichiers provenant d 'emplacements inconnus.