Un nouveau cheval de troie galope sur la Toile

L’éditeur de solutions de sécurité, Panda Software, nous apprend l’apparition d’un nouveau cheval de Troie conçu pour subtiliser les mots de passe des comptes bancaires en ligne de milliers d’utilisateurs de langue espagnole

Ce nouveau cheval de Troie dénommé Nabload.U combine technique d’ingénierie sociale pour sa diffusion avec Messenger et techniques de « spyware » et « phishing » pour voler les données. Une fois le mot de passe récupéré le cheval de Troie tente d’envoyer un mail à son créateur.

Nabload.U, se propage de lui-même grâce à Messenger. Selon le communiqué de Panda Soft, ce « trojan » est apparu il y a quelques heures. Une fois installé il télécharge un autre code malicieux du même type, appelé Banker.bsx. Son but est de récupérer les mots de passe de certaines banques, principalement d’utilisateurs de langue espagnole, qu’il a enregistré dans son code. Une fois que le créateur a obtenu les clés, il peut alors s’adonner à des actes de fraude bancaires en ligne visant les comptes en question. L’aspect le plus inhabituel de ce cheval de Troie est sa capacité à capturer l’information sans utiliser un enregistreur de frappes, comme le font traditionnellement les autres malwares du même type. Naturellement l’utilisateur n’a pas du tout conscience de ce qui se passe et les banques qui utilisent un clavier virtuel pour éviter les enregistreurs de frappes ne sont donc pas protégées contre celui-ci. Nabload.U utilise les techniques d’ingénieries sociales pour inciter les utilisateurs à cliquer sur l’URL. Le message, en espagnol est le suivant : ?ve esa vaina https://hometown.%eliminado%.au/miralafoto/foto.exe.? Il apparaît comme un message personnel. Quand l’utilisateur clique sur l’adresse, un autre cheval de Troie, Banker.BSX , est téléchargé. Celui-ci propose alors deux autres adresses URL https://hometown.%eliminado%.au/arqarq/coco2006.jpg et https://hometown.%eliminado%.au/modnatal/coco2006.jpg qui téléchargent un fichier de configuration. Dans ce fichier se trouve l’adresse mail où les données volées seront envoyées. Le cheval de Troie ouvre le port 1106 et reste actif. Ainsi, lorsque l’utilisateur tente de consulter ses données via une des adresses de banques en ligne listées ci-dessous, le cheval de Troie enregistre l’activité de l’utilisateur sur cet écran, dont son nom d’utilisateur et les mots de passe tapés grâce au clavier virtuel, et accède ainsi à son compte bancaire.