Un fait curieux - les banques israéliennes n'ont pas été ciblés par des logiciels malveillants bancaires. Jusqu'ici. les chercheurs de Kaspersky ont récemment découvert le cheval de Troie bancaire tout premier fait juste que, ciblant les banques israéliennes. Le cheval de Troie a été surnommé ATMZombie.
ATMZombie applique la technique bien connue de changement de proxy pour détecter le trafic vers les pages bancaires. Après une série d'activités malveillantes, l'argent des victimes est récupéré aux guichets automatiques par les soi-disant mules d'argent.
Plus à propos ATM Malware
Comment fonctionne ATMZombie?
L'une des méthodes utilisées par ATMZombie est connue sous le nom de changement de proxy et est largement utilisée pour les inspections de paquets HTTP.. Essentiellement, les changements de proxy impliquent la modification des configurations de proxy du navigateur et la saisie du trafic entre le client et le serveur. Dans ce cas, le changement de proxy agit un peu comme une attaque de type `` man-in-the-middle ''.
Plus à propos Botnets bancaires
Les attaquants ont également trouvé un moyen de diffuser les informations bancaires et ainsi de briser le trafic HTTPS en émettant leur propre certificat, intégré dans le compte-gouttes Trojan et implémenté dans l'autorité de certification racine (Californie) liste sur l’ordinateur de la victime.
En fait, le changement de proxy n'est pas une technique révolutionnaire dans les attaques de logiciels malveillants. Comme déjà mentionné, le changement de proxy consiste à modifier les fichiers de configuration du proxy du navigateur et à remplacer les fichiers de configuration automatique du proxy par défaut du navigateur (ou fichiers PAC).
Dans le cas d'ATMZombie, les fichiers PAC malveillants canalisent le trafic du navigateur via le nœud intermédiaire de l'attaquant.
Les chercheurs décrivent la prochaine étape de l'attaque comme une étape en mode manuel car il est limité uniquement aux banques israéliennes. Cela est dû à un service local qui permet au propriétaire du compte bancaire de transférer de l'argent à d'autres sans compte bancaire ni carte de crédit.
Les chercheurs pensent que les attaquants sont des locaux
Les opérateurs d'ATMZombie utilisent des identifiants bancaires volés pour se connecter aux comptes des victimes et envoyer de petits paiements à leurs soi-disant « muets d'argent ». Les opérateurs de logiciels malveillants utilisent le service de transaction par SMS déployé uniquement par les banques israéliennes.
Plus à propos Voler des identifiants bancaires
Selon Kaspersky, plusieurs banques israéliennes et des centaines de personnes ont été attaquées par le cheval de Troie. La seule bonne nouvelle ici est que la méthode utilisée par les créateurs d'ATMZombie ne leur permet pas de retirer de grosses sommes d'argent. Il n'y a pas de paiement supérieur à $750.
Ayant à l'esprit que les attaques d'ATMZombie sont assez spécifiques au système bancaire israélien, il est facile de supposer que les criminels sont aussi locaux. En outre, l'emploi de mules d'argent ATM illustre que le groupe criminel n'opère pas au niveau international. Les groupes de cybercriminalité travaillant à l'échelle internationale n'utiliseraient pas de mules d'argent.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: