Piratage : les ‘hackers’ font du ‘phishing’ ciblé par ‘trojan’

Selon le journal en ligne nos garnements de la Toile ont dans la plus grande discrétion infecté des centaines de milliers d’ordinateurs.

Le cheval de Troie utilisé par ces derniers est surnommé MetalFisher, ou « pécheur de métal » un nom qui n’est pas le fruit du hasard. Ce code malicieux repose sur un exploit repéré dans les fichiers Windows Metafile(WMF). Ce dernier est particulièrement sophistiqué et il a été spécifiquement créé pour récupérer les informations bancaires de sa victime, la date de validité de la carte bleue, le numéro de compte, et d’une façon générale toutes les informations pouvant renseigner celui qui le manipule à distance sur l’identité de la personne dont la machine est infectée. Ces attaques ont été repérées depuis plusieurs semaines et elles semblent pour l’instant ne s’intéresser qu’aux clients des grandes banques du Royaume-Uni, de l’Espagne et de l’Allemagne. « Il s’agit d’une de ces grandes, et sous-jacentes menaces qui nous inquiètent en ce moment » a déclaré Ken Dunham, directeur de l’équipe « réponse rapide » de l’unité iDefense de Verisign. « Il y a actuellement un bouleversement dans le mode opératoire des hackers noirs (les mauvais) qui sont passés d’un modèle d’attaques massives à celui d’attaques plus ciblées. MetalFihser en est l’incarnation. » Pour Dunham, les hackers en question ont déjà envoyé des centaines de milliers de mails qui incitent les utilisateurs des trois pays ciblés à se rendre sur des pages web qui utilisent le dit exploit dans les Windows Metafile pour télécharger le cheval de Troie sur la machine. Ce Trojan qui est également connu sous les noms de Spy-Agent et PWS, et alors utilisé pour collecter les informations et les renvoyer vers où les donnes sont tranquillement récupérées. Interrogé par Computerworld, Eric Sites, le vice-président de la recherche et du développement chez Sunbelt Software explique les caractéristiques de ce cheval de Troie : « Metlafisher est à part dans l’univers des trojans car son système de « control and command » des serveurs utilisés pour le contrôler est très sophistiqué » « Nous avons déjà observé des chevaux de Troie mais en ce qui concerne Metalfisher, à ce jour il s’agit de la menace la plus élaborée elle a atteint un niveau de complexité comparable à ce qui se fait chez les professionnels IT ». D’après Dunham, « MetalFisher utilise un site construit en php pour suivre en temps réel le niveau d’infection dans les pays , et pour gérer les variantes et les scripts . Il inclut également une routine filtrer plus facilement les données volées et trouver les mots de passe et les numéros de compte. » « L’un des serveurs qui récolte des données a été repéré dans la ville de Washington. Sur une période de quatre jours, MetalFisher aurait infecté 29.000 machines et il a communiqué 562.857 fois avec le serveur » précise Eric Sites.