Le cheval de Troie bancaire Metamorfo désactive la saisie semi-automatique pour enregistrer les mots de passe que vous saisissez
Alors que d'autres menaces sont apparues et disparues au fil des ans, les chevaux de Troie bancaires sont restés un favori des cybercriminels, et bien que certaines souches comme Ursnif aient établi une réputation d'exfiltration efficace des données, les escrocs sont toujours prêts à donner une chance aux nouveaux entrants. Metamorfo est l'un des plus récents arrivants sur la scène des logiciels malveillants bancaires, et il semble qu'il pourrait obtenir l'approbation des pirates assez rapidement.
Les chercheurs de Fortinet ont écrit pour la première fois sur Metamorfo en janvier lorsque le malware était destiné exclusivement aux utilisateurs du Brésil. La semaine dernière, cependant, les experts ont déclaré avoir vu une nouvelle variante distribuée dans "plusieurs" pays. Ils ont préféré ne pas publier une liste des institutions financières ciblées, mais leur rapport suggère que la plupart des cibles sont situées en Amérique du Nord et du Sud.
Table of Contents
Une chaîne d'infection assez traditionnelle
Il n'y a rien de particulièrement intéressant dans la façon dont Metamorfo infecte l'ordinateur d'une victime. Les escrocs utilisent l'ingénierie sociale pour inciter les utilisateurs à ouvrir un fichier ZIP joint à un e-mail non sollicité. À l'intérieur, il y a un Windows Installer qui télécharge quelques fichiers à partir d'un serveur contrôlé par des pirates et installe le cheval de Troie. Les fichiers sont vidés dans un dossier nommé de façon aléatoire sur le lecteur système, et la persistance est obtenue à l'aide d'une modification du registre de Windows.
Avant que l'opération malveillante ne commence, Metamorfo contacte son serveur Command & Control (C&C) et envoie des informations sur l'hôte infecté, y compris le nom de l'ordinateur, la version du système d'exploitation et une liste des produits de sécurité installés. Jusqu'à présent, si conventionnel, mais les prochaines étapes montrent que Metamorfo est loin d'être une simple réécriture d'un cheval de Troie bancaire traditionnel.
Metamorfo recherche l'argent réel et crypto
Il semble que les opérateurs de Metamorfo ne soient pas satisfaits de ne voler que les informations bancaires des victimes. Une fois installé, le logiciel malveillant active une fonctionnalité de surveillance du presse-papiers, qui analyse chaque bit de données que l'utilisateur copie. S'il détecte une chaîne alphanumérique qui ressemble à une adresse bitcoin, il l'échange pour l'adresse du portefeuille de l'attaquant alors qu'il est toujours dans le presse-papiers.
Les adresses de portefeuille ont entre 26 et 35 caractères, ce qui signifie que la plupart des gens copient généralement l'adresse lorsqu'ils souhaitent effectuer une transaction Bitcoin. Les développeurs de Metamorfo espèrent que les utilisateurs ne remarqueront pas que la chaîne a été modifiée et enverraient par inadvertance les pièces numériques au portefeuille des escrocs. En ce qui concerne le vol de mots de passe bancaires en ligne, la stratégie est tout aussi bien pensée.
Une fonction de saisie automatique désactivée et un simple enregistreur de frappe entraînent des mots de passe volés
Vous savez que lorsque vous commencez à taper une URL dans votre barre d'adresse, les navigateurs modernes vous donnent des suggestions trouvées dans votre historique de navigation. Pour beaucoup, accéder à leur plate-forme bancaire en ligne signifie taper quelques lettres dans la barre d'adresse et appuyer sur Entrée. Les navigateurs modernes offrent également une fonctionnalité de gestion des mots de passe, ce qui signifie qu'une fois sur le site Web de la banque, les utilisateurs qui ont enregistré leurs informations d'identification avec leur navigateur choisissent simplement la bonne suggestion, et leur nom d'utilisateur et leurs mots de passe sont remplis automatiquement. Si leurs ordinateurs sont infectés par Metamorfo, cela ne se produira pas.
Après avoir établi un pied sur un hôte, Metamorfo apporte quelques modifications au registre, qui désactivent la fonctionnalité de remplissage automatique de la plupart des navigateurs modernes. Par conséquent, les utilisateurs doivent saisir l'URL complète de leur site Web bancaire (s'ils ne l'ont pas enregistré en tant que signet), et ils doivent également saisir manuellement leur nom d'utilisateur et leur mot de passe. Pendant ce temps, Metamorfo enregistre les données de connexion à l'aide d'un composant keylogger et les envoie au C&C des escrocs.
Un cheval de Troie bancaire intelligent qui a quelques autres as dans sa manche
D'un point de vue technique, cette méthode est beaucoup plus simple que les mécanismes plus traditionnels d'extraction des informations de connexion, mais elle pourrait être tout aussi efficace. En effet, les utilisateurs remarqueront probablement que la fonctionnalité de saisie semi-automatique de leur navigateur ne fonctionne pas, mais ils supposeront probablement qu'il s'agit d'un problème temporaire et saisiront leurs coordonnées à la main. Le fonctionnement de l'arnaque de redirection bitcoin est tout aussi simple. Cela ne signifie pas pour autant que le niveau global de sophistication soit faible.
Les chercheurs de Fortinet ont déclaré que Metamorfo est capable d'exécuter un total de 119 commandes, qui comprennent l'arrêt et le redémarrage de l'ordinateur, le déplacement du curseur de la souris et l'affichage de faux messages d'erreur. En d'autres termes, Metamorfo est un cheval de Troie bancaire extrêmement polyvalent avec des fonctionnalités qui vont bien au-delà du simple vol des informations de connexion et de la redirection des bitcoins. C'est peut-être nouveau, mais ce n'est certainement pas à renifler.
