Un code malveillant réécrit les relevés bancaires pour masquer la fraude

Un nouveau logiciel malveillant utilisé par les pirates va désormais beaucoup plus loin que le simple pillage d'un compte bancaire par des malfrats. En effet, le code malicieux en question, connu sous le nom d'URLZone, permet de masquer la fraude en équilibrant facticement les relevés bancaires électroniques d'une victime. Selon un rapport [PDF], le cheval de Troie peut réécrire les données bancaires à la volée en altérant le code HTML de la page, juste avant que son contenu ne s'affiche sur l'écran de l'utilisateur.

Cette nouvelle technique a été utilisée en août dernier par un groupuscule qui a visé des clients de grandes banques allemandes, en volant pas moins de 300 000 euros en trois semaines explique Yuval Ben-Itzhak, le directeur technique de la compagnie de sécurité informatique Finjan. "Le cheval de Troie est branché à votre navigateur web et modifie dynamiquement le texte contenu dans le HTML" détaille le spécialiste. "C'est une technique très sophistiquée".

Dans les faits, les ordinateurs sont infectés par le logiciel malveillant après avoir visité des sites web légitimes compromis ou des sites web malhonnêtes mis en place par les pirates. Une fois que la victime est touchée, le logiciel récupère les accès du compte bancaire du client, puis contacte un centre de contrôle hébergé sur une machine basée en Ukraine pour obtenir de nouvelles instructions. Celui-ci indique au cheval de Troie le montant de la somme à virer et à quel endroit l'envoyer.

Pour éviter le déclenchement automatique des systèmes anti-fraudes des banques, le code va retirer des montants au hasard en s'assurant que le retrait ne dépasse pas le solde de la victime. Les chercheurs sont parvenus à prendre une série de captures d'écran montrant l'effet d'un tel logiciel sur un compte en banque. Un transfert de 8 576,24 euros est ainsi déguisé en un banal virement de 53,94 euros.

Les chercheurs ont également dégagé quelques statistiques montrant que sur 90 000 visiteurs ayant visité un de ces sites contaminés, 6 400 ont été infectés par le cheval de Troie URLZone. La plupart des attaques observées par Finjan montre que les internautes utilisaient surtout les différentes versions d'Internet Explorer, mais Ben-Itzhak prévient que les autres navigateurs sont également vulnérables.

Au regard de la technique utilisée, Finjan estime que les fraudeurs récupèrent environ 7,3 millions de dollars par an (environ 5 millions d'euros). "L'exemple que nous avons trouvé concerne les banques allemandes" note Ben-Itzhak. "Mais nous pensons que d'autres pays vont être prochainement touchés".