|
| |
|
|
| Sommaire Sécurité |
 |
| MetaFisher : le ver qui vise les sites bancaires |
| Un réseau de PC infectés, composé d'un million de machines, a été découvert par iDefense. Le ver exploite la désormais très célèbre faille WMF et cherche à récupérer les identifiants bancaires de ses "hôtes".
(24/03/2006) |
|
Un million de PC infectés en l'espace de trois mois : c'est le constat alarmant dressé par iDefense, société spécialisée en sécurité informatique et filiale de
VeriSign, acteur des infrastructures de services Internet.
Les premiers touchés sont les utilisateurs des sites Web de plus d'une dizaine d'institutions financières aux Etats-Unis et en Europe. La contamination provient d'un ver surnommé "MetaFisher" - de type cheval de Troie (bot trojan) - dont la particularité est de transformer le PC infecté en relais.
En effet, le mouchard, une fois installé, devient pleinement pilotable à distance. Le poste client devient ainsi partie intégrante d'un réseau fantôme de PC malveillants, dont le but est de collecter des informations confidentielles et ce, sans que les propriétaires des machines ne s'en rendent compte. Pour réussir cette tromperie, les techniques utilisées regorgent de créativité.
Le ver, intégré à un fichier, est transmis via un e-mail renvoyant vers un site affichant une page HTML basique. Il exploite la faille WMF, reconnue en 2004 (lire l'article du 14/10/2004).
Après visualisation d'une image au format WMF présente sur cette page, l'injection du code malveillant vers le PC est automatique.
Une fois installé, le cheval de Troie analyse les fenêtres actives, tant sur le bureau que sur le navigateur Internet Explorer. Si aucune n'est ouverte, il modifie le contenu de certains fichiers du PC, s'appuyant sur une liste de sites connectés à des serveurs DNS masqués. Ces derniers renvoient vers des sites russes hébergeant des pages HTML trompeuses.
| L'objectif : inviter les utilisateurs à saisir leurs identifiants bancaires |
L'objectif est simple : inviter les utilisateurs à entrer leurs identifiants d'accès à leurs services bancaires habituels, sur une fenêtre Web s'interposant par dessus la page principale ou via un simple pop-up. Ce cas de figure n'est pas sans rappeler la vague de phishing dont les banques françaises font les frais depuis 2005 (voir le diaporama de janvier 2006).
"Pour entretenir ce réseau, Metafisher utilise un site caché connecté à une base de données PHP", indique Ken Dunham, directeur d'une équipe d'iDefense, dans un rapport. Cette base recense les codes, les infections par zone géographique et permet même de retrouver un compte d'accès volé par simple recherche par mot-clé.
Malgré l'ancienneté de la faille WMF, relative au format de fichier graphique développé par Microsoft, il aura fallu attendre début 2006 pour qu'un correctif officiel soit proposé (lire l'article du 11/01/2006).
Entre temps, le mal a été fait : des milliers de PC dans le monde ont "ouvert leur porte" de cette manière.
Des développeurs tiers ont même proposé des correctifs alternatifs - en atttendant que Microsoft sorte son bulletin sécuritaire mensuel -, des éditeurs comme F-Secure recommandant même son installation. Cependant, peu d'utilisateurs sont sensibilisés aux mises à jour et les créateurs de vers en ont bien conscience, d'où leur persévérance dans l'exploitation de cette faille et de tant d'autres.
C'est pourquoi aujourd'hui Microsoft lance une forte campagne de lutte anti-phishing. L'éditeur de Redmond entend pour cela mener des actions juridiques directes contre les auteurs de ces escroqueries en ligne. Il reste cependant à prouver si la répression - même rapide - peut pallier un retard dans la livraison de correctifs de sécurité...
|
| |
| |
|
|
|
Dossier 
