Apparition d’un nouveau cheval de Troie pour voler les mots de passe des comptes bancaires en ligne de milliers d’utilisateurs de langue espagnole

Un nouveau cheval de Troie, Nabload.U, qui se propage de lui-même grâce à Messenger, est apparu il y a quelques heures. Ce Trojan télécharge un autre malware du même type, appelé Banker.bsx, qui est actuellement le malware le plus souvent détecté par la solution en ligne Panda ActiveScan. Son but est de récupérer les mots de passe de certaines banques, principalement d’utilisateurs de langue espagnole, qu’il a enregistrées dans son code.

L’aspect le plus inhabituel de ce cheval de Troie est sa capacité à capturer l’information sans utiliser un enregistreur de frappes, comme le font traditionnellement les autres malwares du même type. Naturellement l’utilisateur n’a pas du tout conscience de ce qui se passe et les banques qui utilisent un clavier virtuel pour éviter les enregistreurs de frappes ne sont donc pas protégées contre celui-ci.

Une fois que le créateur a obtenu les clés, il peut alors s’adonner à des actes de fraude bancaires en ligne visant les comptes en question.

L'aspect le plus inhabituel de ce cheval de Troie est sa capacité à capturer l'information sans utiliser un enregistreur de frappes, comme le font traditionnellement les autres malwares du même type. Naturellement l'utilisateur n'a pas du tout conscience de ce qui se passe et les banques qui utilisent un clavier virtuel pour éviter les enregistreurs de frappes ne sont donc pas protégées contre celui-ci.

Nabload.U utilise les techniques d'ingénieries sociales pour inciter les utilisateurs à cliquer sur l'URL. Le message, en espagnol est le suivant : “ve esa vaina http://hometown.%eliminado%.au/miralafoto/foto.exe.” Il apparaît comme un message personnel. Quand l'utilisateur clique sur l'adresse, un autre cheval de Troie, Banker.BSX , est téléchargé.

Celui-ci propose alors deux autres adresses URL http://hometown.%eliminado%.au/arqarq/coco2006.jpg et http://hometown.%eliminado%.au/modnatal/coco2006.jpg qui téléchargent un fichier de configuration. Dans ce fichier se trouve l'adresse mail où les données volées seront envoyées.

Le cheval de Troie ouvre le port 1106 et reste actif. Ainsi, lorsque l’utilisateur tente de consulter ses données via une des adresses de banques en ligne listées ci-dessous, le cheval de Troie enregistre l’activité de l’utilisateur sur cet écran, dont son nom d’utilisateur et mot de passe tapés grâce au clavier virtuel, et accède ainsi à son compte bancaire.

Le cheval de Troie ne vole les informations qu’à partir des adresses suivantes :

- https://secure2.venezolano.com/
- https://e-bdvcp.banvenez.com
- https://www.ibprovivienda.com.ve/personas/
- https://banco.micasaeap.com/individualmc/
- https://olb.todo1.com/servlet/msfv/
- https://www.banesco.com/servicios_electronicos_pag.htm
- https://www.banesconline.com/
- https://www.provinet.net/shtml/
- https://bod.bodmillenium.com
- https://www.corp-line.com.ve/personas/

Quand le cheval de Troie a enregistré l'information souhaitée, il envoie les données vers une adresse mail. Le créateur peut changer l'adresse de destination aussi souvent qu'il le désire

Pour aider le plus grand nombre d’utilisateurs à analyser et désinfecter leurs systèmes, Panda Software propose sa solution en ligne gratuite, Panda ActiveScan, qui détecte désormais également les spywares, à l’adresse suivante http://www.activescan.com. Les webmasters qui souhaiteraient intégrer ActiveScan sur leur site peuvent obtenir gratuitement le code HTML à partir du lien suivant : http://www.pandasoftware.com/partners/webmasters.

Les Technologies TruPreventTM détectent et éliminent Banker.BSX sans nécessiter de mises à jour préalables, les ordinateurs sont ainsi protégés dès l’apparition du cheval de Troie, avant même son identification.

Pour plus d'informations sur Nabload.U et Banker.BSX , consultez l' Encyclopédie de Panda Software.

A propos du laboratoire de virus de Panda Software
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les technologies TruPreventTM, un véritable système global d’alertes, basé sur des sondes, distribuées stratégiquement, et qui permettent de neutraliser les nouvelles menaces, de les envoyer au plus tôt à PandaLabs et d’offrir les mises à jour complètes dans les plus brefs délais. Plus d’informations à l’adresse : http://www.pandasoftware.com/virus_info