Une nouvelle forme de malware bancaire utilise Microsoft SQL Server

Les chercheurs en sécurité d’ IBM X-Force ont découvert une nouvelle forme de malware bancaire qui tire parti d’un serveur Microsoft SQL Server distant pour communiquer avec des machines infectées.

Surnommé MnuBot, le cheval de Troie a attiré l’attention des chercheurs car contrairement aux logiciels malveillants typiques qui communiquent directement avec un serveur de commande et contrôle via des services tels que le relais Internet ou des connexions directes, il utilise Microsoft SQL Server pour les communications C & C.

Le cheval de Troie comporte deux étapes. La première phase d’infection implique un processus dans lequel le cheval de Troie vérifie s’il existe un fichier appelé Desk.txt dans le dossier itinérant AppData sur un PC Windows. Si ce n’est pas le cas, MnuBot crée le fichier, créant un nouveau bureau sur la machine infectée et y passe l’utilisateur. Étonnamment, si le fichier est trouvé, MnuBot ne fait rien.

Dans le bureau nouvellement créé, MnuBot vérifie les fenêtres de premier plan pour les noms similaires à ceux des banques ciblées. Quand on en trouve un, la deuxième étape se lance, en téléchargeant un virus de Troie d’accès à distance qui fournit au pirate un contrôle total sur la machine d’une victime ainsi que des fonctions supplémentaires pour aider au vol de données bancaires.

"Une fois que l’utilisateur a ouvert une session de navigation sur son compte bancaire et que le second exécutable de MnuBot a été téléchargé, le cybercriminel peut se mettre au travail", expliquent les chercheurs . "À ce stade, ils ont une session ouverte à la banque de la machine de la victime" qui peut utiliser les capacités de MnuBot. Ceux-ci comprennent la création de captures d’écran du navigateur et du bureau, le keylogging, la simulation des clics et des frappes de l’utilisateur, et le redémarrage de la machine de la victime.

La bonne nouvelle est que, même si les chercheurs décrivent le cheval de Troie comme étant très avancé, les attaques qui ont eu lieu jusqu’ici n’ont été ciblées que sur les banques brésiliennes. Cela dit, comme on l’a vu précédemment avec de nombreuses formes de logiciels malveillants, elles évoluent souvent au fil du temps pour cibler des zones géographiques plus vastes.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image