Barracuda full logo

Trois choses à savoir sur les chevaux de Troie bancaires

Thèmes:
21 juin 2023
|
Christine Barry

La faillite de trois grandes banques au début de l'année a provoqué une onde de choc dans l'opinion publique. Une crise bancaire inquiète (presque) tout le monde, ce qui crée de nouvelles opportunités de social engineering, de phishing et d'autres attaques destinées à vous soutirer de l'argent. Nous n'avons pas encore parlé du cheval de Troie bancaire, un type de malware très intéressant et très dangereux.

Le nombre de chevaux de Troie bancaires en circulation augmente rapidement, et nombre d'entre eux sont de plus en plus sophistiqués. Les chevaux de Troie sont distribués dans les systèmes de bureau et les appareils mobiles par l'intermédiaire de magasins d'applications, de pièces jointes, de sites Web compromis et d'autres méthodes qui incitent l'utilisateur/la victime à accepter l'installation du cheval de Troie. Par exemple, une application qui ressemble à celle de votre banque peut être proposée dans le Google Play Store. Le logo et le nom sont identiques, et l'application semble légitime. Malheureusement, cette application est un cheval de Troie bancaire mobile Android qui se fait passer pour une application mobile existante. Cette application ne tardera pas à être trouvée et supprimée du Google Play Store, mais vous l'aurez déjà installée et vous aurez déjà accordé toutes les autorisations demandées avant que cela ne se produise. Désormais, vous avez une application malveillante sur votre smartphone qui vole toutes les données sensibles qu'elle trouve.

Qu'est-ce qu'un cheval de Troie bancaire ?

Un cheval de Troie est un type de logiciel malveillant qui semble utile, mais qui lance des attaques malveillantes en arrière-plan. Les chevaux de Troie ont différentes fonctions, notamment voler des données ou permettre le contrôle à distance d'un système. De nombreux chevaux de Troie modernes remplissent des dizaines de fonctions, de sorte que beaucoup de ces différents types se chevauchent et que la distinction n'est plus aussi importante qu'elle l'était autrefois. Cependant, le cheval de Troie bancaire est identifié comme tel parce qu'il est créé avec les fonctionnalités nécessaires pour voler de l'argent sur des comptes en ligne.

Comme indiqué précédemment, l'utilisateur/la victime qui installe le cheval de Troie pense généralement qu'il s'agit d'une entité légitime.  Cela peut être une application antivirus, un jeu mobile, un gestionnaire de fichiers ou même une pièce jointe prenant en charge les macros. Il est important de noter que la victime installe l'application de son plein gré, et c'est ainsi qu'elle accorde toutes les autorisations système demandées par l'application. Le cheval de Troie exploite ensuite ces autorisations système pour mener des attaques et ne pas se faire détecter. 

Au fil des ans, les cybercriminels ont adapté leurs malwares aux nouveaux designs des systèmes, à des fonctionnalités de sécurité bancaire plus puissantes et aux nombreuses applications que les gens utilisent sur leurs téléphones et leurs appareils de bureau.  Les cybercriminels ont continué à améliorer leurs attaques et à ajouter de nouvelles fonctionnalités afin de faciliter le vol de données et la dissimulation des activités du cheval de Troie.

Outils de travail

Les chevaux de Troie bancaires sont programmés pour voler les informations stockées dans le système ou transmises par son intermédiaire. Pour cela, le cheval de Troie doit être capable d'accéder à de nombreux sous-composants d'un système. Le cheval de Troie bancaire Zeus était le premier du genre lorsqu'il a été identifié en 2007. Ce n'était pas le premier malware infostealer, mais c'était le premier cheval de Troie à cibler spécifiquement les données bancaires et d'autres données financières en ligne. Il a également été le premier à « fusionner » avec un concurrent, ce qui a permis au développeur de se concentrer sur autre chose. Le code source de Zeus a également été divulgué sur un forum de piratage, ce qui a accéléré le développement de variantes de Zeus.

Zeus et les autres chevaux de Troie bancaires disposent généralement d'une combinaison des fonctionnalités suivantes :

  • Ouverture d'une ligne de communication avec le serveur de commande et de contrôle (C&C) du cybercriminel afin de transmettre les données volées et d'accepter de nouvelles instructions
  • Capture des identifiants de connexion, prise des captures d'écran et enregistrement des frappes
  • Vol des informations dans des navigateurs Web et dans Windows PStore
  • Détournement de sessions bancaires en ligne pour créer des transactions frauduleuses

Dans le but de contourner la sécurité et d'accéder à plus de types d'appareils et de sous-systèmes, les développeurs ne cessent d'ajouter de nouvelles fonctionnalités aux chevaux de Troie. Par ailleurs, ils ajoutent des fonctionnalités telles que la récupération des mises à jour automatiques à partir du serveur C&C. Ce développement continu ne profite pas seulement aux utilisateurs des malwares mis à jour. Le code source est souvent copié par des gangs rivaux, qui disposent ainsi de malwares prêts à l'emploi pendant qu'ils concentrent leurs efforts sur le déploiement et les améliorations/mises à niveau. Presque tous les chevaux de Troie modernes sont les descendants d'un autre qui existe depuis de nombreuses années.

Le cheval de Troie bancaire Android SOVA illustre parfaitement ce principe. Des chercheurs ont observé au moins trois versions de SOVA en moins de deux ans, chacune avec de nouvelles fonctionnalités qui rendent le malware plus efficace. En octobre 2022, le développeur de SOVA a ajouté des fonctionnalités pour effectuer des clics d'écran, lancer une attaque par ransomware, superposer un écran sur d'autres applications mobiles et communiquer avec un serveur de commande et de contrôle pour obtenir des instructions. À l'origine, SOVA ciblait des institutions aux États-Unis, en Russie et en Espagne, mais d'autres pays ont rapidement été ajoutés à la liste des cibles. Cette croissance et ce développement soutenus ont attiré l'attention de milieux criminels et d'organisations de recherche en sécurité.

Un nouveau cheval de Troie bancaire appelé Nexus a été découvert au début de cette année, mais le malware pourrait être actif depuis l'été 2022. Nexus inclut certaines parties du code source de SOVA et peut lancer des attaques de piratage de comptes bancaires en ligne.  Ces attaques de piratage de compte (ATO) sont principalement rendues possibles par les fonctionnalités suivantes :

  • Vol de codes d'authentification à deux facteurs à partir de messages SMS et de Google Authenticator. Nexus peut également activer/désactiver cette fonctionnalité et supprimer le SMS contenant le code.
  • Collecte de certains types d'informations à partir de portefeuilles de cryptomonnaies, comme le solde d'un compte et la phrase secrète/le mot de passe principal du portefeuille.
  • Vol de cookies sur les sites Web ciblés. Les cookies contiennent des données telles que l'état de connexion, les préférences du site Web, le contenu personnalisé, etc. Les sites Web sont liés aux institutions financières que le cheval de Troie est conçu pour attaquer.
  • Exécution d'attaques par enregistrement de frappe (ou « keylogging ») et par superposition pour voler les informations d'identification de l'utilisateur. Une attaque par enregistrement de frappe enregistrera vos frappes au fur et à mesure que vous tapez au clavier et enverra ces données au cybercriminel. L'attaque par superposition reproduit une fenêtre active au-dessus d'une fenêtre de programme légitime. Lorsque l'utilisateur saisit ses données d'identification dans le formulaire de connexion, la fausse fenêtre capture les données saisies au clavier ou les actions effectuées sur l'écran tactile.

Le développeur de SOVA « Sovenok » a accusé un opérateur de botnet d'avoir volé le code source de SOVA et de l'avoir mis à la disposition des développeurs de Nexus. Des chercheurs ont découvert des preuves solides soutenant cette affirmation, au point que Nexus a déjà été identifié comme étant une nouvelle version de SOVA. Les chercheurs ont également trouvé des parties de SOVA dans d'autres chevaux de Troie bancaires, ce qui suggère que le code source a été mis à la disposition de bien plus de développeurs que ceux de Nexus seuls.

Tout pirate disposant de suffisamment d'argent peut utiliser le cheval de Troie Nexus, car il a été mis à disposition sous forme de MaaS (Malware-as-a-Service). Contrairement à SOVA, Nexus ne peut pas être utilisé contre des cibles en Russie et dans les autres pays de la CEI.  Une fonction « vérifier le pays » ajoutée par les développeurs de Nexus permet d'éviter ce problème.

Si le code de SOVA a été volé et utilisé par Nexus, c'est l'exemple parfait de la façon dont un malware sophistiqué peut être volé, réutilisé et mis à la disposition de beaucoup de personnes, y compris des pirates les plus expérimentés.

Distribution

Un appareil peut être infecté par un cheval de Troie de plusieurs manières, et de nouvelles méthodes de distribution sont développées en permanence. Cette liste n'est pas exhaustive, mais elle peut vous donner une idée de la manière dont la distribution des malwares peut fonctionner.

Applications mobiles

Google Play est populaire auprès des pirates en raison du grand nombre d'utilisateurs, d'applications et de téléchargements. Google dispose de plusieurs niveaux de sécurité pour empêcher la mise en ligne d'applications infectées et pour découvrir si elles apparaissent dans le magasin. Cependant, le temps qu'une application infectée soit découverte et supprimée, elle peut avoir été téléchargée par des centaines de milliers d'utilisateurs. Si le cheval de Troie infecte plusieurs applications, ce malware spécifique peut être installé sur des centaines de millions d'appareils.

Les applications Google Play sont souvent disponibles sur des sites d'applications tiers, et ces sites peuvent ne pas avoir de procédures de sécurité pour détecter et retirer les applications infectées. Par conséquent, une application infectée créée pour Google Play peut toujours représenter une menace, même après sa suppression du magasin.

De même, une application infectée par un injecteur de malware peut télécharger d'autres malwares sur un appareil. Comme de nombreux cybercriminels veulent que leurs malwares soient disponibles sur Google Play, un marché criminel lucratif s'est développé pour les abonnements au DaaS (Dropper-as-a-Service). On peut citer DawDropper, qui a été trouvé dans 17 applications de Google Play en août 2022. Les opérateurs de DawDropper se chargent de mettre en place l'infrastructure d'abonnement et d'introduire leurs applications d'injection dans Google Play, tandis que les abonnés DaaS téléchargent leurs malwares dans le service cloud de DawDropper.

Messagerie et e-mail

Les SMS et les messages sur les réseaux sociaux sont également des moyens répandus de diffuser des chevaux de Troie et d'autres malwares. Les cybercriminels créent un message sur un sujet qui nécessite une réaction immédiate,  notamment des livraisons retardées/annulées et des mises à jour d'applications. Le message contient généralement un lien malveillant qui infectera l'appareil. Il s'agit de la principale méthode d'infection des chevaux de Troie bancaires FluBot et Medusa.

Les documents contenant une macro malveillante peuvent également être utilisés pour propager des chevaux de Troie bancaires. Ces documents sont distribués par le biais de spams et d'attaques par hameçonnage. L'attaque commence lorsque le destinataire ouvre le document et active la macro ou clique sur un lien malveillant. C'est l'un des moyens les plus courants d'infecter un système avec des malwares, et c'était la principale méthode utilisée par les opérateurs de Dridex.

Sites Web compromis et logiciels infectés

La publicité en ligne malveillante, ou « malvertising », est un moyen courant d'infecter les appareils mobiles et de bureau. Les criminels créent une publicité qui contient un code malveillant et l'introduisent dans une publicité légitime existante.  Les réseaux publicitaires affichent alors ces publicités sans savoir que les publicités sont infectées. L'attaque contre l'utilisateur commence lorsque le navigateur Web tombe sur la publicité malveillante. Le code affichera des fenêtres contextuelles malveillantes demandant une approbation (mise à niveau flash, notifications d'affichage, etc.), ou commencera simplement à installer des malwares sur votre système en exploitant les vulnérabilités qu'il y aura trouvées. Ce type d'attaque implique généralement un kit d'exploitation qui installe le cheval de Troie bancaire ou tout autre malware. 

Enfin, vous pouvez être infecté en téléchargeant un logiciel piraté, en consultant des sites Web douteux ou en parcourant une clé USB trouvée sur un parking. Évitez ce genre de choses.

Protégez-vous

La meilleure façon de vous protéger contre les malwares est de défendre toutes les surfaces d'attaque. Vous pouvez déployer une couche de protection avec un logiciel anti-malware sur l'appareil, mais les appareils d'entreprise ont besoin de plusieurs couches de défense. Barracuda Managed XDR détecte rapidement les menaces et réduit le temps de réponse et de correction. Barracuda SecureEdge fournit un accès Internet sécurisé (SIA) aux appareils de l'entreprise, quel que soit leur emplacement. Barracuda Email Protection vous protège contre les 13 types de menaces par e-mail et comprend des outils d'analyse en temps réel et une correction après la livraison.   

 

 

 

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
Confronting the Dark Side of GenAI: Recommendations for business leaders, CISOs and security teams
 The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.