Les Trojan Banker, avec l’émergence dans la vie de tous les jours d’internet sont devenus des malwares très courants.
Ils visent à récupérer les informations bancaires d’un internaute afin de pouvoir, par la suite, effectuer des transactions frauduleuses.
Le vol de données bancaires permet la revente : carding.
C’est une des activités les plus lucratives.
Enfin en 2019 ils se spécialisent dans la récupération de portefeuille de Crypto-monnaies.
Voici un article complet sur la menace des Trojan Banker.
Table des matières
Historique des Trojan Banker
Avant de commencer, si vous cherchez des informations, plus général, sur les botnets, rendez-vous sur la page : Les botnets : réseau de machines infectées
Le premier Trojan Banker le plus abouti est Zeus/Zbot apparu en 2007.
Il est devenu très vite populaire et à permis à des groupes de cybercriminels de voler des centaines de millions d’euros.
2011 voit la publicisation du code source.
Cela a permis un fork et l’apparition de malwares basés sur Zbot (comme Spyeye ou Citadel).
Son abandon progressive a aussi permis l’émergence d’autres Trojan Banker.
Zeus a donné Citadel qui a ensuite donné Atmos. En avril 2016, Atmos vise les banques françaises : Trojan Atmos vise les banques françaises
Il s’est passé la même chose avec le Trojan Gozi apparu en 2007, qui a donné en 2009 le Trojan Banker Ursnif et Vawtrak.
Aujourd’hui parmi les plus utilisés on trouve : Dyre, Shifu, ISFB (aka Ursnif, Papras, ou Voslik), Dridex.
Pour plus d’informations sur les grands botnet, lire la page :
Réparation des familles de Trojan Banker
2015
La répartition des Trojans Banker en 2015 – source Secuworks
Le plus connu est Zeus / Zbot, dont voici une statistique de botnets Zeus GameOver en 2017 :
2017
Cette autre répartition des Trojan Banker en 2017 avec dans l’ordre Zeus, Gozi, Ramnit, Dridex, Sphinx, Client Maximus, Qudars, Trickbot et Gootkit.
L’article insiste sur la chute du Trojan Neverquest après l’arrestation.
Le Trojan Neverquest étant en classé second en 2015 dans le top des Trojan Banker .
Exemple de détection Backdoor:Win32/Vawtrak par Windows Defender :
2019
Voici les familles de Trojan en 2019.
A noter que ces malwares se sont aussi plus spécialisés.
Ainsi ils visent aussi les porte feuilles de monnaies virtuelles.
- Ramnit
- Panda
- Chtonic
- TrickBot
- DanaBot
Le graphique ci-dessous montre les samples Emotet et TrickBot.
En Mai TrickBot devient plus virulent qu’Emotet.
Distribution des Trojans Banker
La distribution des Trojans Banker restent classique, en général, on trouve :
- par des emails malicieux – souvent avec des pièces jointes, vous exécutez le contenu de la pièce jointe, le ransomware se lance.
- par des exploits sur des sites WEB et notamment par des malvertising : exemple : Trafficholder Malvertising, Exploit Kit, Trojan et Ransomware
Les mails malveillants
Dans les années 2009, le Trojan Zbot utilisait déjà les emails maveillant comme méthode de distribution.
Souvent emails anglophones se faisant passer pour des services (invoice, DHL Service, Western Union, Facebook, etc).
Aujourd’hui ces campagne emails sont plus ciblées.
Par exemple Dridex est distribué en France à travers des emails malveillant avec des pièces jointes au format Word et langue française.
Ils visent principalement les entreprises :
Cet autre spam malveillant qui vise les suisses.
Le contenu est une pièce jointe Word malveillante.
Ou encore ces erreurs de paiements des impôts qui visent les britanniques.
Ici cela reprend des mails du gouvernement.
Ces campagnes se font grâce à d’autres botnets
- Cuwail (Spam botnet de 2007, on en reparlait en 2011 : Cutwail fait son retour)
- en 2015 avec Necurs
Le schéma ci-desous montre une campagne de mail mailveillant Office pour le cheval de troie Emotet.
Ce dernier se propage ensuite sur le réseau.
Enfin certains Trojan Banker n’est pas directement distribué par email.
En effet les pièces jointes contiennent des Trojan Downloader.
Il se chargent de télécharger le trojan final.
On trouve notamment : Pony, Upatre, Gamarue (aka Andromeda), et Kegotip.
Drive By Download ou Exploit Web
Cet article ne détaille pas les par Web Exploit ou Drive By Download.
Pour plus d’explications sur ces méthodes, lire cet article complet.
Ici on parle des groupes structurés et professionnels.
Les kits comme Zbot et Citadel qui ont été publiés sont aussi repris par des groupes moins structurés afin de constituer des botnets et voler des comptes.
Une groupe, probablement francophone, en 2012 qui ont entre autre utilisé les malwares Andromeda et Gamarue :
ou encore plus récemment : JobCrypter & les activités carding de djamel au bled
Sur cette page on évoque beaucoup les Trojan Banker qui ont majoritairement pour source les pays de l’Europe de l’Est et Russie.
Ils visent visent alors les pays occidentaux.
Le Brésil est aussi un pays qui fournit beaucoup de malware et notamment les Trojan Banker qui visent en général les pays en langue espagnole.
Plus d’informations autour de Business sur la page suivante : Business malwares : le Pourquoi des infections
Réparation mondiale des Trojan Banker
Quelques répartitions suite à une mise hors ligne d’un botnet Vawtrak (source Arbor)
64 000 IPs uniques – Les pays anglo-saxons et notamment les USA sont les plus touchés.
C’est assez logique car les campagnes d’emails sont souvent en anglais. Les USA restent un gros marchés au vu du nombre d’habitants.
La répartition mondiale du Trojan Neverquest:
En Europe, on peut voir que la Grande-Bretagne est très infestée par ce Trojan Banker.
La réparation des infections aux USA :
Bien entendu, les grandes villes sont le plus touchées.
Les chiffres de 2017 et 2018.
La France représente environ 4 à 3% des pays touchés.
Les familles de Trojan se spécialisent dans certains points géographiques.
Par exemple Panda vise plutôt l’Amérique du Nord et l’Italie.
Alors que Trickbot vise assez l’Europe dont la France et bien entendu les USA.
Enfin voici une carte plus récente de 2019 des attaques de Trojan Banker.
Fonctionnement des Trojan Banker
Au départ, les malwares type Zbot embarquaient des fonctionnalités de keylogger mais aussi la possibilité d’effectuer des captures d’écran dans le cas d’utilisation de clavier virtuel.
Sur la page Ebay et Paypal Phishing : Confirm your Identity, j’évoquais en 2012, l’ouverture de page WEB de phishing demandant des informations bancaires.
Vol de données bancaires
Les pirates utilisent différentes techniques pour tromper les internautes et dérober des informations.
Par exemple, ci-dessous, en visitant le site ebay, une fausse popup de confirmation d’identité avec les informations bancaires à saisir s’affichent.
Puis ils se perfectionnent en effectuant ensuite du proxy SSL afin d’effectuer des attaques Man in the middle (Homme du milieu) au niveau du navigateur WEB.
On les nomme MITB (man-in-the-browser).
C’est à dire que le malware va intercepter le traffic HTTP et HTTPs.
Pour ce dernier cas, il faut installer ses propres certificats SSL, en s’intercalant entre le navigateur WEB et le site bancaire.
Ainsi le malware peut lire tout le trafic qui passe et donc récupérer les accès bancaires pour les transmettre aux pirates.
Par exemple, ci-dessous une injection sur le site de la Banque Postale :
Ci-dessous, un panel du Trojan Citadel avec des vidéos de capture lorsque les utilisateurs se connectent aux sites de banques.
Notamment pour les claviers virtuels (Merci Xylitol).
Modules et injections
Une bonne partie de ces malwares Banker fonctionnent avec des fichiers de configuration où le pirate peut “régler” les sites de banques et de commerces qu’ils souhaitent viser.
Ainsi lors de l’installation de Trojan banker sur le PC de la victime un fichier de configuration ou module distant est téléchargé puis installé.
On peut dissimuler ces fichiers de configuration dans des images à travers des procédés de stéganographie.
Voici un exemple d’un fichier de configuration Citadel déchiffré (Merci à Xylitol)… On trouve des redirections sur certains adresses interdites d’antivirus et même malekal.com
Le but étant d’empêcher la connexion à des sites d’antivirus ou de désinfection et perturber les mises à jour du client antivirus installé sur le PC de la victime.
et enfin ci-dessous, les adresses des banques à surveiller, ici ce sont des banques françaises qui sont visées.
Et un exemple d’injection afin de récupérer les informations bancaires.
Dans le cas du malware Atmos, les formulaires de phishing (injection de formulaire) sont paramétrable depuis le panneaux de gestions des bots.
Il existe même un business autour des injections de formulaires : ATSEngine xylibox.com
Ci-dessous, un dossier module pour le Trojan Banker Trickbot, on reconnait des modules d’injection et des tentatives de passage en mode Worm (ver informatique).
Enfin à noter que les sites WEB sont aussi sujet à ce type de formjacking.
On en parle sur la page suivante :
Pour terminer vous pouvez lire en parallèle la page :
Les botnet de Trojan Banker
Ces Trojan Banker agit donc comme botnet, on retrouve comme fonctionnalités “standards” parmi les malwares les plus avancés :
- Télécharger et installer d’autres malwares.
- La prise de contrôle par VNC est aussi possible.
- L’installation d’un socks sur l’ordinateur pour utiliser l’ordinateur pour effectuer des opérations malveillants.
- Désactiver la protection antivirus
- Fonctionnalités de Keylogger.
- Effectuer des captures d’écran.
- Modifier le cache du navigateur WEB.
Outre l’arsenal qui permet de voler des données.
Les trojans banker utilisent souvent les injections de processus afin de contrôler des processus système.
Vous trouverez un descriptif de ces aspects sur la page : Trojan avancé : fonctionnement de cheval de troie plus complexe
Trojan Banker Android
L’OS Android pour les Smartphone n’est pas épargné.
La page suivante vous donne un aperçu des Trojan Banker Android qui peuvent exister : Trojan-Banker.AndroidOS.Acecard : Un trojan évolué
IBanking qui vise à pouvoir récupérer la liste des contacts, envoyer des SMS ou en recevoir.
Sécuriser votre ordinateur contre les Trojan Banker
Pour sécuriser votre ordinateur, nous vous recommandons ce lien : Comment sécuriser son ordinateur ?
Si vous pensez que votre ordinateur est infecté, vous pouvez créer un sujet dans la partie Virus du forum : Demander de l‘aide sur le forum
Après une attaque par Trojan Banker, nous vous recommandons de suivre les indications suivantes : Porter plainte après attaque/infection informatique
Liens relatifs au Trojans Banker :
Liens autour des trojans
Résumer tout le monde des trojans et logiciels malveillants s’avère très compliqué.
Pour la partie fonctionnement des cheval de troie : Comment fonctionnent les trojans ?
Il existe divers types et de familles plus ou moins évolués selon le but recherché par les pirates, voler des infos bancaires, mot de passe ou permettre le contrôle de l’ordinateur.
Vous trouverez une liste des familles de cheval de troie sur la page :
- Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc
- Index des menaces et programmes malveillants/Malwares
Liens
- Les virus informatiques
- Comment les virus informatiques sont distribués.
- Les botnets : réseau de machines infectées
- Business malwares : le Pourquoi des infections informatique
- Comment les virus informatiques sont distribués.
- La sécurité de son PC, c’est quoi ?
- Trojan Stealer : le malware qui vole des données