Vu sur le PC d’un pote, lors du logging sur le site Ebay.
Une popup Ebay Confirm Your identity qui s’ouvre demandant d’insérer les informations carte bancaire.
La popup est en anglais alors que ebay est en français, bien sûr ça pue.
Le code du formulaire ne donne pas d’information sur la destination :
<form name="send" method="post" onsubmit="return checkGeneralCCForm();"> <input type="hidden" name="hidModalWindow" value="yes" id="hidModalWindow"> <input type="hidden" name="hidModalWindowName" value="general" id="hidModalWindowName"> <div style="padding: 7px 0 9px 7px;"> <div style="padding: 10px 10px 0px 10px;"> <span>Card number : </span> <INPUT id="ccCard" value="" type="text" name="card" value="" maxLength="16" size="16" > <br /> <span>Expiration Date , <i>mm/yyyy</i> : </span> <input value="" size="2" name="CCExp_month" maxlength="2" id="ccExpM"> / <input value="" size="4" name="CCExp_year" maxlength="4" id="ccExpY"> <br /> <span>Signature Panel Code : </span> <input value="" size="5" maxlength="4" name="CVV2" id="ccCvv2"> <br /> <span>ATM PIN : </span> <input value="" size="6" name="ATMPIN" maxlength="8" id="ccPin"> <br /> <center><button type="submit" id="ccSubImg" name="continue"><span><span>Continue</span></span></button></center> </div> </div> </form>
L’adresse du formulaire est : http://my.ebay.fr/qwopumeuvqopmgutpcypsvjcyzqklwmp.php
Cette page fonctionne sur le PC en question mais pas ailleurs.
Cela confirme une infection qui « créé » cette page :
Une recherche sur la page sur Google donne d’autres cas et notamment des cas Paypal :
Confirmation, la page http://www.paypal.fr/qwopumeuvqopmgutpcypsvjcyzqklwmp.php fonctionne.
On obtient le message « We do not recognize the computer you are using. To continue with Online Banking, please provide the information requested below.«
Un coup de FillderCap sur la page montre une connexion vers l’IP http://37.58.74.67 (NL) qui délivre la page
Sur un PC sain on obtient bien le formulaire Ebay. D’ailleurs Firefox note la page comme malicieuse.
Le PC en question est infecté par ZeroAccess version 64 bits et à priori seulement cela, je pense donc que ZeroAccess est à l’origine de ces redirections.
Cependant, je n’ai pas pu à partir d’une VM infectée, reproduire cette attaque (module « phishing » spéciale?).
Une arnaque qui a des chances de marcher surtout outre atlantique puisque le formulaire en question est en anglais, en tout cas, on peux saluer l’ingéniosité des auteurs de malwares pour récupérer des cartes bancaires.
EDIT
Amazon est aussi touché.
Il semblerait d’après ce topic sur CCM que le site de voyages-SNCF peux aussi être touché.
Dans le cas d’amazon.com, on retrouve toujours le même message : « We do not recognize the computer you are using. To continue with Online Banking, please provide the information requested below. »
EDIT – Zbot/Zeus et Spyeye
Pas mal de remontés qui parlent de Zbot/Zeus et Spyeye comme source de popups du même type qu’évoquée dans ce billet.
En jouant l’infection, effectivement sur ebay on se retrouve avec une popup en allemand : Identitat Bestätigung
Dans le code source de la page, on trouve une fonction loadpopupunder et une fonction Init.
Notez l’utilisation de variable avec le mot Inject dans le code.