Une variante de Gozi s’attaque aux communications sécurisées

Cloud

Quasiment indétectable, la nouvelle variante du cheval de Troie Gozi parvient
à dérober les informations bancaires au cours des transactions SSL.

Les experts ont découvert une nouvelle variante du cheval de Troie russe Gozi capable de dérober des données au cours de transactions SSL (Secure Socket Layer).

Cette variante, l’une des plus sophistiquées jamais découvertes, présente une série de fonctions spécialement conçues pour rendre sa détection difficile. Lorsqu’elle détecte une transaction SSL, elle s’active et exécute un enregistreur de frappe pour dérober les détails du compte utilisateur de l’ordinateur infecté.

De plus, le cheval de Troie est extrêmement difficile à détecter car il change constamment son codage de manière à contourner les systèmes de détection par signature. Il dispose également de son propre logiciel de compression qui lui permet de compresser des portions de son code pour mieux passer inaperçu.

« Le fait que cette nouvelle version de Gozi puisse crypter et modifier son code de programmation pour contourner la détection classique par signature est déjà un problème majeur », a indiqué Geoff Sweeney, responsable technique chez Tier-3, éditeur de logiciels d’analyse de sécurité.

« Mais le fait qu’il puisse activer et désactiver un enregistreur de frappe comme il l’entend dès que le PC infecté accède à une banque en ligne le rend quasiment indétectable par les technologies de sécurité informatique traditionnels. D’après ce que je comprends, les technologies d’analyse comportementale seraient le seul moyen de protéger les données bancaires d’un PC infecté contre les risques d’intrusion. »

Le cheval de Troie a été détecté par Don Jackson, chercheur pour l’éditeur américain SecureWorks. Il a ainsi découvert que même avec une signature de malware, toutes les solutions antivirus ne permettaient pas de le détecter, même si certains logiciels ont réussi à l’identifier comme fichier suspect.

Don Jackson a remonté la trace de l’adresse IP du serveur vers lequel les informations étaient envoyées et a découvert que les informations de plus de 5 200 utilisateurs particuliers, avec 10 000 relevés de compte, avaient été détournées. Les informations de compte et de connexion pour des applications proposées par plus de 300 organisations ont été dérobées sur ces ordinateurs infectés.

« Les informations contenaient tous les numéros de compte bancaires, les numéros de compte de services de paiement et de distribution, ainsi que les numéros de sécurité sociale et d’autres informations personnelles », a indiqué Don Jackson.

« Les données récupérées contenaient notamment les numéros de compte et les mots de passe de clients des plus grandes institutions bancaires et financières du monde entier (plus de 30 banques et sociétés de crédit représentées), des plus grands détaillants américains et des sites de vente en ligne les plus populaires.

« Les données volées contenaient de nombreux comptes utilisateur et mots de passe d’employés travaillant pour des agences gouvernementales fédérales, nationales et locales ainsi que pour des services de police locaux. »

Traduction d’un article de Vnunet.com en date du 22mai 2007.