Les Trojans bancaires sont un danger constant pour le secteur financier. Ce type de logiciel malveillant vole l’identité en ligne de ses victimes et utilise ces informations pour tromper les institutions financières et voler l’argent de leurs comptes. Au cours des dernières années, nous avons vu de nombreux exemples de ce type de cybercriminalité. L’année dernière, l’un des chevaux de Troie bancaires les plus remarquables était BackSwap, qui utilisait une série de techniques avancées pour contourner les contrôles de cybersécurité.
Comme pour de nombreux types de malware et de cyberattaque, les créateurs de chevaux de Troie bancaires cherchent constamment de nouveaux moyens de mettre en défaut la cyberprotection de leurs victimes et de voler leurs données ou même leur argent.
Metamorfo : le cheval de Troie bancaire se propage
Metamorfo est un Trojan bancaire qui a été découvert en avril 2018. Au départ, son activité était limitée au Brésil, où il rassemblait les informations de ses victimes, notamment des captures d’écran et leur historique de navigation, afin de dérober de l’argent sur leurs comptes bancaires en ligne. Aujourd’hui, en février de cette année, les chercheurs en cybersécurité ont commencé à détecter des campagnes plus étendues utilisant ce cheval de Troie.
Ce nouveau mouvement vise à recueillir des numéros de cartes de crédit, des informations financières et d’autres types de données personnelles. Le cheval de Troie a été détecté chez les clients de plus de 20 banques en ligne aux États-Unis, au Canada, au Chili, en Espagne, au Brésil, au Mexique et en Équateur.
Un cheval de Troie avec de nombreuses astuces dans ses manches
Comme tant d’autres campagnes malveillantes, Metamorfo commence par du hameçonnage (phishing). Dans ce cas, l’e-mail prétend contenir des informations concernant une facture et invite l’utilisateur à télécharger un fichier .zip. Lorsque ce fichier est téléchargé et exécuté, Metamorfo peut commencer à fonctionner sur les machines Windows.
Une fois installé – et après avoir vérifié qu’il ne s’exécute pas dans une sandbox ou un environnement virtuel – le malware exécute un programme d’exécution de script AutoIt. Ce langage de script est conçu pour automatiser l’interface utilisateur graphique de Windows et les scripts généraux, mais il a également été utilisé dans les attaques de logiciels malveillants pour contourner les systèmes antivirus.
Lorsqu’il s’exécute sur un système Windows compromis, Metamorpho ferme tout navigateur utilisé et empêche toute nouvelle fenêtre de navigateur d’utiliser la saisie automatique dans les champs de données. De cette façon, le malware force la victime à retaper son nom d’utilisateur et son mot de passe, ce qui permet au keylogger du malware de rassembler ces précieuses informations et de les envoyer au serveur C&C.
Afin de ne pas gâcher les chances de recueillir ces données, Metamorfo dispose également d’une fonction qui surveille 23 mots-clés liés aux banques concernées. Ainsi, lorsque la victime accède aux services de la banque, les attaquants sont prévenus à l’avance.
Comment peut-on arrêter Metamorfo ?
Le fait que cette menace utilise le courrier électronique comme principal vecteur d’attaque signifie que la première chose à faire pour empêcher Metamorfo de causer des dommages économiques dans l’entreprise est de surveiller les courriers électroniques. Afin de s’assurer qu’aucune menace ne puisse pénétrer dans l’entreprise par ce vecteur, il est essentiel de former les employés à reconnaître les courriels de phishing.
Il est également essentiel de disposer de protections avancées. Panda Email Protection offre par exemple une protection multicouche en temps réel des flux de messagerie contre tous les types de spam et de logiciels malveillants. La technologie d’analyse avancée est réalisée à partir du cloud, ce qui simplifie la gestion de la sécurité, puisqu’elle peut être utilisée de n’importe où, à tout moment, simplement en accédant à une console web.
Même si un courriel ne présente aucune des indications « classiques » de phishing, mais qu’il suscite néanmoins des soupçons en raison de l’expéditeur, de l’objet ou de tout autre élément suspect, il est toujours préférable de vérifier son contenu, surtout s’il s’agit de virements bancaires.
Enfin, comme on peut le dire pour la plupart des problèmatiques de cybersécurité, les risques liés à une attaque par courrier électronique peuvent être évités grâce à une combinaison de facteurs humains et technologiques : le bon sens et la formation des collaborateurs afin d’acquérir de l’expérience et de prévenir et détecter les attaques, ainsi que l’utilisation de plateformes de cybersécurité avancées qui ont la capacité d’avertir de tout danger que nous aurions pu négliger.