Trojan Banker : botnet spécialisé dans le vol de compte bancaire

Les Trojan Banker, avec l’émergence dans la vie de tous les jours d’internet sont devenus des malwares/virus très courants.
Ils visent à récupérer les informations bancaires d’un internaute afin de pouvoir, par la suite, effectuer des transactions frauduleuses.
Avec le vol de cartes bancaires (carding), c’est une des activités les plus lucratives.
En règle général, ces virus visent aussi les sites de commerces comme Amazon, Ebay et des sites de transactions bancaires comme Paypal.

Les Trojan Banker

Historique des Trojan Banker

Avant de commencer, si vous cherchez des informations, plus général, sur les botnets, rendez-vous sur la page : Les botnets : réseau de machines infectées

Le premier Trojan Banker le plus abouti est Zeus/Zbot apparu en 2007.
Il est devenu très vite populaire et à permis à des groupes de cybercriminels de voler des centaines de millions d’euros.
En 2011, le code source a été publié, ce qui a permis un fork et l’apparition de malwares basés sur Zbot (comme Spyeye ou Citadel).
Son abandon progressive a aussi permis l’émergence d’autres Trojan Banker.
Zeus a donné Citadel qui a ensuite donné Atmos. En avril 2016, Atmos vise les banques françaises : Trojan Atmos vise les banques françaises

Il s’est passé la même chose avec le Trojan Gozi apparu en 2007, qui a donné en 2009 le Trojan Banker Ursnif et Vawtrak.
Aujourd’hui parmi les plus utilisés on trouve : Dyre, Shifu, ISFB (aka Ursnif, Papras, ouVoslik), Dridex.

Réparation des familles de Trojan Banker

La répartition des Trojans Banker en 2015 – source Secuworks

Réparation des familles de Trojan Banker

Le plus connu est Zeus, dont voici une statistique de botnets Zeus GameOver en 2017 :

Réparation des familles de Trojan Banker

ou encore cette répartition des Trojan Banker en 2017 avec dans l’ordre Zeus, Gozi, Ramnit, Dridex, Sphinx, Client Maximus, Qudars, Trickbot et Gootkit.
L’article insiste sur la chute du Trojan Neverquest après l’arrestation, le Trojan Neverquest étant en classé second en 2015 dans le top des Trojan Banker .

Réparation des familles de Trojan Banker
Répartition Trojan Banker en 2017 (Source: IBM X-Force, April 2017)

Exemple de détection Backdoor:Win32/Vawtrak par Windows Defender :

Exemple de détection Backdoor:Win32/Vawtrak par Windows Defender

Distribution des Trojans Banker

La distribution des Trojans Banker restent classique, en général, on trouve :

Dans les années 2009, le Trojan Zbot utilisait déjà les emails malicieux comme méthode de distribution à travers des emails anglophones se faisant passer pour des services (invoice, DHL Service, Western Union, Facebook, etc).

Distribution des Trojans Banker : mail malveillant

Distribution des Trojans Banker : mail malveillant

Aujourd’hui ces campagne emails sont plus ciblées, à travers le botnet Cuwail (Spam botnet de 2007, on en reparlait en 2011 : Cutwail fait son retour), où par exemple Dridex est distribué en france à travers des emails malicieux avec des pièces jointes au format Word, langue française et visant principalement les entreprises : Campagnes Dridex – documents Microsoft Word & Excel piégés et Les campagnes Dridex continuent

Le Trojan Banker n’est pas directement distribué par email, ce dernier est téléchargé par des Trojan Downloader, on trouve notamment : Pony, Upatre, Gamarue (also known as Andromeda), and Kegotip

Les attaques par Web Exploit ne seront pas plus détaillées, si vous souhaitez avoir un aperçu, rendez-vous sur la page Angler EK pour avoir un exemple d’un WebExploit Kit très répandu : Angler Exploit Kit (EK) : un kit au top !

Ici on parle des groupes structurés et professionnels, les kits comme Zbot et Citadel qui ont été publiés sont aussi repris par des groupes moins structurés afin de constituer des botnets et voler des comptes.
Une groupe, probablement francophone, en 2012 qui ont entre autre utilisé les malwares Andromeda et Gamarue :

ou encore plus récemment : JobCrypter & les activités carding de djamel au bled

Sur cette page on évoque beaucoup les Trojan Banker qui ont majoritairement pour source les pays de l’Europe de l’Est/Russie et vise les pays occidentaux.
Le Brésil est aussi un pays qui fournit beaucoup de malware et notamment les Trojan Banker qui visent en général les pays en langue espagnole.
Ceci est notamment évoqué sur cette page : Business malwares : le Pourquoi des infections

Réparation mondiale des Trojan Banker

Quelques répartitions suite à une mise hors ligne d’un botnet Vawtrak (source Arbor)
64 000 IPs uniques – Les pays anglosaxons et notamment les USA sont les plus touchés.
C’est assez logique car les campagnes d’emails sont souvent en anglais. Les USA restent un gros marchés au vu du nombre d’habitants.

Réparation mondiale des Trojan Banker : Trojan Banker Vawtrak

La répartition mondiale u Trojan Neverquest:

Réparation mondiale des Trojan Banker : Trojan Banker Vawtrak

En Europe, on peut voir que la Grande-Bretagne est complètement infestée par ce Trojan Banker.

Réparation mondiale des Trojan Banker : Trojan Banker VawtrakLa réparation des infections aux USA :

Réparation mondiale des Trojan Banker : Trojan Banker Vawtrak

Bien entendu, les grandes villes sont le plus touchées.

Fonctionnement des Trojan Banker

Au départ, les malwares type Zbot embarquaient des fonctionnalités de keylogger mais aussi la possibilité d’effectuer des captures d’écran dans le cas d’utilisation de clavier virtuel.
ou encore sur la page Ebay/Paypal Phishing : Confirm your Identity, j’évoquais en 2012, l’ouverture de page WEB de phishing demandant des informations bancaires.

Vol de données bancaires

Différentes techniques peuvent être utilisés pour tromper les internautes et dérober des informations.
Par exemple, ci-dessous, en visitant le site ebay, une fausse popup de confirmation d’identité avec les informations bancaires à saisir s’affichent.

Fonctionnement des Trojan Banker : le vol de données bancaires

Les Trojans Banker, ce sont perfectionnés en effectuant ensuite du proxy SSL afin d’effectuer des attaques Man in the middle (Homme du milieu) au nivau du navigateur WEB que l’on nomme MITB (man-in-the-browser).
C’est à dire que le malware va intercepter le traffic HTTP et HTTPs et installer ses propres certificats SSL, en s’intercalant entre le navigateur WEB et le site bancaire, le malware peut lire tout le traffic qui passe et donc récupérer les accès bancaires pour les transmettre aux pirates.

Par exemple, ci-dessous une injection sur le site de la Banque Postale :

Fonctionnement des Trojan Banker : le vol de données bancaires avec ZeusVM(source ZeusVM and steganography)

Ci-dessous, un panel du Trojan Citadel avec des vidéos de capture lorsque les utilisateurs se connectent aux sites de banques.
Notamment pour les claviers virtuels (Merci Xylitol).

Fonctionnement des Trojan Banker : le vol de données bancaires avec le Trojan Citadel

Modules et injections

Une bonne partie de ces malwares Banker fonctionnent avec des fichiers de configuration où le pirate peut « régler » les sites de banques et de commerces qu’ils souhaitent viser.
Ainsi lors de l’installation de Trojan banker sur le PC de la victime un fichier de configuration ou module distant est téléchargé et installé.
Il arrive souvent que ces fichiers de configuration soient dissimulés dans des images à travers des procédés de stéganographie.

Voici un exemple d’un fichier de configuration Citadel déchiffré (Merci à Xylitol)… On trouve des redirections sur certains adresses interdites d’antivirus et ….. malekal.com
Le but étant d’empêcher la connexion à des sites d’antivirus ou de désinfection et perturber les mises à jour du client antivirus installé sur le PC de la victime.

Fonctionnement des Trojan Banker : le vol de données bancaires avec le Trojan Citadel

Fonctionnement des Trojan Banker : le vol de données bancaires avec le Trojan Citadel

et enfin ci-dessous, les adresses des banques à surveiller, ici ce sont des banques françaises qui sont visées.
Et un exemple d’injection afin de récupérer les informations bancaires.

Fonctionnement des Trojan Banker : le vol de données bancaires avec le Trojan Citadel

Fonctionnement des Trojan Banker : le vol de données bancaires avec le Trojan Citadel

Dans le cas du malware Atmos, les formulaires de phishing (injection de formulaire) sont paramétrable depuis le panneaux de gestions des bots.
Fonctionnement des Trojan Banker : le vol de données bancaires avec le Trojan Atmos
Il existe même un business autour des injections de formulaires : http://www.xylibox.com/2014/05/atsengine.html

Fonctionnement des Trojan Banker : le vol de données bancaires

Ci-dessous, un dossier module pour le Trojan Banker Trickbot, on reconnait des modules d’injection et des tenatives de passage en mode Worm (ver informatique).

Fonctionnement des Trojan Banker : le vol de données bancaires avec le Trojan Atmos

Vous pouvez lire en parallèle la page : Vol de données bancaires / cartes bancaires

Les botnet de Trojan Banker

Ces Trojan Banker agit donc comme botnet, on retrouve comme fonctionnalités « standards » parmi les malwares les plus avancés :

  • Télécharger et installer d’autres malwares.
  • La prise de contrôle par VNC est aussi possible.
  • L’installation d’un socks sur l’ordinateur pour utiliser l’ordinateur pour effectuer des opérations malveillants.
  • Désactiver la protection antivirus
  • Fonctionnalités de Keylogger.
  • Effectuer des captures d’écran.
  • Modifier le cache du navigateur WEB.

Fonctionnement des Trojan Banker : les botnet

Outre l’arsenal qui permet de voler des données.
Les trojans banker utilisent souvent les injections de processus afin de contrôler des processus système.
Vosu trouverez un descriptif de ces aspects sur la page : Trojan avancé : fonctionnement de cheval de troie plus complexe

Trojan Banker Android

Android n’est pas épargné,  la page suivante vous donne un aperçu des Trojan Banker Android qui peuvent exister : Trojan-Banker.AndroidOS.Acecard : Un trojan évolué

IBanking qui vise à pouvoir récupérer la liste des contacts, envoyer des SMS ou en recevoir.

Fonctionnement des Trojan Banker : Trojan Android

Sécuriser votre ordinateur contre les Trojan Banker

Pour sécuriser votre ordinateur, nous vous recommandons ce lien : Comment sécuriser son ordinateur ?
Si vous pensez que votre ordinateur est infecté, vous pouvez créé un sujet dans la partie Virus du forum : VIRUS : Supprimer/Desinfecter

Si vous avez été confronté à un Trojan Banker, nous vous recommandons de suivre les indications suivantes : Porter plainte après attaque/infection informatique

Liens relatifs au Trojans Banker :

Liens autour des trojans

Résumer tout le monde des trojans et logiciels malveillants serait très compliqués.
Pour la partie fonctionnement des cheval de troie : Comment fonctionne les trojans ?

Il existe divers types et de familles plus ou moins évolués selon le but recherché par les pirates, voler des infos bancaires, mot de passe ou permettre le contrôle de l’ordinateur.
Vous trouverez une liste des familles de cheval de troie sur la page : Index des menaces et programmes malveillants/Malwares

Concernant les Trojans spécialisés dans le vols de données bancaires, vous pouvez lire la page : Les Trojans Banker

Les liens généraux sur les menaces informatiques :

(Visité 2 415 fois, 5 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet