Trojan Banker : botnet spécialisé dans le vol de compte bancaire

Les Trojan Banker, avec l’émergence dans la vie de tous les jours d’internet sont devenus des malwares/virus très courants.
Ils visent à récupérer les informations bancaires d’un internaute afin de pouvoir, par la suite, effectuer des transactions frauduleuses.
Avec le vol de cartes bancaires (carding), c’est une des activités les plus lucratives.
En règle général, ces virus visent aussi les sites de commerces comme Amazon, Ebay et des sites de transactions bancaires comme Paypal.

Historique des Trojans Banker

Le premier Trojan Banker le plus abouti est Zeus/Zbot apparu en 2007.
Il est devenu très vite populaire et à permis à des groupes de cybercriminels de voler des centaines de millions d’euros.
En 2011, le code source a été publié, ce qui a permis un fork et l’apparition de malwares basés sur Zbot (comme Spyeye ou Citadel).
Son abandon progressive a aussi permis l’émergence d’autres Trojan Banker.
Zeus a donné Citadel qui a ensuite donné Atmos. En avril 2016, Atmos vise les banques françaises : Trojan Atmos vise les banques françaises

Il s’est passé la même chose avec le Trojan Gozi apparu en 2007, qui a donné en 2009 le Trojan Banker Ursnif et Vawtrak.
Aujourd’hui parmi les plus utilisés on trouve : Dyre, Shifu, ISFB (aka Ursnif, Papras, ouVoslik), Dridex.

La répartition des Trojans Banker en 2015 – source Secuworks

Trojan_Banker_Repartition

Exemple de détection Backdoor:Win32/Vawtrak par Windows Defender :

Backdoor_Vawtrak_Trojan_Dynamer

Distribution des Trojans Banker

La distribution des Trojans Banker restent classique, en général, on trouve :

Dans les années 2009, le Trojan Zbot utilisait déjà les emails malicieux comme méthode de distribution à travers des emails anglophones se faisant passer pour des services (invoice, DHL Service, Western Union, Facebook, etc).

Aujourd’hui ces campagne emails sont plus ciblées, à travers le botnet Cuwail (Spam botnet de 2007, on en reparlait en 2011 : Cutwail fait son retour), où par exemple Dridex est distribué en france à travers des emails malicieux avec des pièces jointes au format Word, langue française et visant principalement les entreprises : Campagnes Dridex – documents Microsoft Word & Excel piégés et Les campagnes Dridex continuent

Le Trojan Banker n’est pas directement distribué par email, ce dernier est téléchargé par des Trojan Downloader, on trouve notamment : Pony, Upatre, Gamarue (also known as Andromeda), and Kegotip

Les attaques par Web Exploit ne seront pas plus détaillées, si vous souhaitez avoir un aperçu, rendez-vous sur la page Angler EK pour avoir un exemple d’un WebExploit Kit très répandu : Angler Exploit Kit (EK) : un kit au top !

Ici on parle des groupes structurés et professionnels, les kits comme Zbot et Citadel qui ont été publiés sont aussi repris par des groupes moins structurés afin de constituer des botnets et voler des comptes.
Une groupe, probablement francophone, en 2012 qui ont entre autre utilisé les malwares Andromeda et Gamarue :

ou encore plus récemment : JobCrypter & les activités carding de djamel au bled

Sur cette page on évoque beaucoup les Trojan Banker qui ont majoritairement pour source les pays de l’Europe de l’Est/Russie et vise les pays occidentaux.
Le Brésil est aussi un pays qui fournit beaucoup de malware et notamment les Trojan Banker qui visent en général les pays en langue espagnole.
Ceci est notamment évoqué sur cette page : Business malwares : le Pourquoi des infections

Quelques répartitions suite à une mise hors ligne d’un botnet Vawtrak (source Arbor)
64 000 IPs uniques – Les pays anglosaxons et notamment les USA sont les plus touchés.
C’est assez logique car les campagnes d’emails sont souvent en anglais. Les USA restent un gros marchés au vu du nombre d’habitants.

Trojan_Banker_Vawtrak

La répartition mondiale :

Trojan_Banker_Vawtrak_2

En Europe, on peut voir que la Grande-Bretagne est complètement infestée par ce Trojan Banker.

Trojan_Banker_Vawtrak_4Aux USA :

Trojan_Banker_Vawtrak_3

Fonctionnement des Trojan Banker

Au départ, les malwares type Zbot embarquaient des fonctionnalités de keylogger mais aussi la possibilité d’effectuer des captures d’écran dans le cas d’utilisation de clavier virtuel.
ou encore sur la page Ebay/Paypal Phishing : Confirm your Identity, j’évoquais en 2012, l’ouverture de page WEB de phishing demandant des informations bancaires.
Vous pouvez lire en parallèle la page : Vol de données bancaires / cartes bancaires

Les Trojans Banker, ce sont perfectionnés en effectuant ensuite du proxy SSL afin d’effectuer des attaques Man in the middle (Homme du milieu) au nivau du navigateur WEB que l’on nomme MITB (man-in-the-browser).
C’est à dire que le malware va intercepter le traffic HTTP et HTTPs et installer ses propres certificats SSL, en s’intercalant entre le navigateur WEB et le site bancaire, le malware peut lire tout le traffic qui passe et donc récupérer les accès bancaires pour les transmettre aux pirates.

Par exemple, ci-dessous une injection sur le site de la Banque Postale :

ZeusVM_injection_labanquepostale(source ZeusVM and steganography)

Ci-dessous, un panel du Trojan Citadel avec des vidéos de capture lorsque les utilisateurs se connectent aux sites de banques.
Notamment pour les claviers virtuels (Merci Xylitol).

trojan_citadel_video

Une bonne partie de ces malwares Banker fonctionnent avec des fichiers de configuration où le pirate peut « régler » les sites de banques et de commerces qu’ils souhaitent viser.
Ainsi lors de l’installation de Trojan banker sur le PC de la victime un fichier de configuration ou module distant est téléchargé et installé.
Il arrive souvent que ces fichiers de configuration soient dissimulés dans des images à travers des procédés de stéganographie.

Voici un exemple d’un fichier de configuration Citadel déchiffré (Merci à Xylitol)… On trouve des redirections sur certains adresses interdites d’antivirus et ….. malekal.com
Le but étant d’empêcher la connexion à des sites d’antivirus ou de désinfection et perturber les mises à jour du client antivirus installé sur le PC de la victime.

Citadel_conf_url_interdite

Citadel_conf_url_interdite_2

et enfin ci-dessous, les adresses des banques à surveiller, ici ce sont des banques françaises qui sont visées.
Et un exemple d’injection afin de récupérer les informations bancaires.

Citadel_injection_banque_francaise

Citadel_injection_banque_francaise_2

Dans le cas du malware Atmos, les formulaires de phishing (injection de formulaire) sont paramétrable depuis le panneaux de gestions des bots.
Trojan_Citadel_panel_injection
Il existe même un business autour des injections de formulaires : http://www.xylibox.com/2014/05/atsengine.html

Trojan_Banker_Info_Grabber

Ces Trojan Banker agit donc comme botnet, on retrouve comme fonctionnalités « standards » parmi les malwares les plus avancés :

  • Télécharger et installer d’autres malwares.
  • La prise de contrôle par VNC est aussi possible.
  • L’installation d’un socks sur l’ordinateur pour utiliser l’ordinateur pour effectuer des opérations malveillants.
  • Désactiver la protection antivirus
  • Fonctionnalités de Keylogger.
  • Effectuer des captures d’écran.
  • Modifier le cache du navigateur WEB.

Trojan_Banker_Botnet

Trojan Banker Android

Android n’est pas épargné,  la page suivante vous donne un aperçu des Trojan Banker Android qui peuvent exister : Trojan-Banker.AndroidOS.Acecard : Un trojan évolué

IBanking qui vise à pouvoir récupérer la liste des contacts, envoyer des SMS ou en recevoir.

Trojan_Android_PhoneList

Ressources contre les Trojan Banker

Pour sécuriser votre ordinateur, nous vous recommandons ce lien : Comment sécuriser son ordinateur ?
Si vous pensez que votre ordinateur est infecté, vous pouvez créé un sujet dans la partie Virus du forum : VIRUS : Supprimer/Desinfecter

Si vous avez été confronté à un Trojan Banker, nous vous recommandons de suivre les indications suivantes : Porter plainte après attaque/infection informatique

Liens relatifs au Trojans Banker :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 370 times, 2 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *