Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ESET : Un Cheval de Troie bancaire capable de contourner le processus d’authentification, cible des utilisateurs en France, aux Pays-Bas et en Italie

décembre 2013 par ESET

Le laboratoire de recherche d’ESET implanté à Montréal vient de détecter un logiciel malveillant sous forme d’un cheval de Troie bancaire très actif, baptisé Qadars. Ce code malveillant cible principalement les utilisateurs de différents pays dont la France, les Pays-Bas, l’Italie, le Canada, l’Inde et l’Australie. Qadars utilise une grande variété de "WebInjects", c’est à dire d’injection de contenu HTML et/ou javascript dans une page. Certaines injections intègrent des composants destinées aux mobiles sous Android qui sont capables de contourner les systèmes d’authentification à deux facteurs de la banque en ligne afin d’avoir accès au compte bancaire de l’utilisateur. Le cheval de Troie identifie les utilisateurs dans des régions spécifiques et utilise des fichiers de configuration d’injections web adaptés aux banques les plus couramment utilisés par les victimes, ce qui le rend beaucoup plus efficace. « Le malware a été observé par ESET lors des six derniers mois et nous pouvons confirmer qu’il est constamment mis à jour », indique Jean-Ian Boutin, chercheur chez ESET Canada.

Détecté comme Win32/Qadars, le malware utilise un schéma « Man-in-the-Browser » pour effectuer la fraude financière. Le virus s’injecte dans les processus du navigateur (Firefox ou Internet Explorer) et est capable d’insérer du contenu dans les pages consultées par l’utilisateur. Certaines des injections sont très sophistiquées et peuvent effectuer des opérations automatiquement et contourner les systèmes d’authentification à deux facteurs mis en œuvre par les banques.

« Le contenu peut revêtir plusieurs formes, mais il possède généralement une aptitude à récolter des informations d’identification de l’utilisateur ou à manipuler le code JavaScript afin de tenter des transferts d’argent automatiques, sans que l’utilisateur s’en aperçoive et sans son consentement », explique Jean- Ian Boutin. « Les fichiers de configuration des "WebInjects" du malware Qadars changent fréquemment et ciblent des organismes spécifiques. Pour maximiser leur succès, les auteurs de ces logiciels malveillants essaient d’infecter les utilisateurs dans des régions spécifiques du monde » , ajoute Jean- Ian Boutin.




Voir les articles précédents

    

Voir les articles suivants