Cet article examine la mise en œuvre de MITB par le botnet Citadel dans le navigateur web Firefox. Citadel est pris ici comme exemple de malware car, à l’heure où j’écris, il s’agit de l’un des principaux chevaux de Troie bancaires en circulation. Même après l’opération « b54 » de Microsoft qui a mis hors service plus de 1400 serveurs Citadel, le malware est encore bel et bien opérationnel et utilisé par des acteurs distincts du paysage des menaces pour cibler différents pays et leurs secteurs financiers respectifs. Nous allons plus particulièrement nous intéresser à Firefox car celui-ci constitue une cible plus facile à examiner, mais les principes (et la mise en œuvre) peuvent être étendus à d’autres navigateurs : Internet Explorer, Opera, ainsi que certaines versions de Chrome.

Depuis son apparition vers le début de 2012, Citadel a fait l’objet de nombreuses bonnes analyses dans son ensemble, mais aucune ne s’est aventurée à étudier en profondeur sa fonctionnalité MITB. De même, beaucoup d’articles de qualité lui ont été consacrés, assortis de preuves de concept pour les techniques de codage MITB, mais ils se sont généralement gardés d’aborder les applications malveillantes en circulation. Cet article vise à combler cette lacune.

Des techniques telles que MITB rendent les malwares de type « bankers » extrêmement efficaces, leur permettant d’infecter un grand nombre d’utilisateurs et d’entreprises à travers le monde. Mieux nous comprendrons ces techniques, mieux nous pourrons nous en protéger.