Le vol des coordonnées bancaires des utilisateurs est devenu une pratique courante des attaquants ces derniers temps. Un rapport publié par les chercheurs en cybersécurité de Fortinet détaille un malware qui cible les banques en ligne dans le monde.
Selon le rapport, le cheval de Troie bancaire, Metamorfo a ciblé les utilisateurs de plus de 20 banques en ligne de premier plan en Amérique du Nord et du Sud. Cela comprend des pays comme le Canada, le Pérou, le Brésil, le Mexique, l'Espagne, le Chili, l'Équateur et même les États-Unis.
Comment fonctionne Metomorfo
Dans cette arnaque par hameçonnage, l'attaque commence par un e-mail. Ces e-mails de phishing envoyés aux utilisateurs des banques prétendent contenir des informations sur une facture ou une facture. Pour accéder au contenu de la facture, l'e-mail demande à l'utilisateur de télécharger un fichier au format .ZIP. Une fois que l'utilisateur télécharge et exécute le fichier sur un PC Windows, l'attaque démarre.
Lorsqu'un utilisateur exécute le fichier, il effectue une vérification pour s'assurer qu'il ne s'exécute pas dans un bac à sable ou un environnement virtuel. Ensuite, il décompresse le fichier .ZIP dans un dossier de chaînes aléatoires nouvellement créé. Le dossier contient trois fichiers avec des noms aléatoires. L'un de ces trois fichiers est un programme d'exécution de script Autolt. La principale raison d'utiliser un Autolt pourrait être de contourner la détection par tout logiciel antivirus, selon un chercheur Fortinet.
Maintenant que le cheval de Troie Metamorfo est prêt à fonctionner sur l'ordinateur victime, il commence par fermer les navigateurs en cours d'exécution tels que Firefox, Chrome, Microsoft Edge et Opera. Après le processus de résiliation, il passe à modifier certaines des valeurs de clé de registre afin de désactiver la fonctionnalité de suggestion automatique et de remplissage automatique des navigateurs..
À présent, les utilisateurs doivent taper des URL entières, se connecter aux détails et mots de passe dans les navigateurs, avec les fonctions de suggestion automatique et de remplissage automatique désactivées. Cette astuce simple permet à la fonction keylogger du malware d'enregistrer les actions à partir de l'entrée de la victime. Outre ces entrées, le logiciel malveillant collecte également des informations sur le système, telles que la version du système d'exploitation, le nom de l'ordinateur et d'autres informations générales..
Après une exécution complète, le malware envoie alors un «Post Packet» au serveur de commande et de contrôle de l'attaquant. Il s'agit d'informer l'attaquant qu'un ordinateur a été infecté. Le malware dispose également d'une fonction permettant de surveiller 32 mots-clés liés aux banques ciblées. Il utilise ces mots-clés pour informer en temps réel l'attaquant du moment où la victime tente d'accéder aux services bancaires..
Comment prévenir l'attaque
Maintenant, pour éviter d'être la proie de ce malware, vous devez d'abord faire attention aux e-mails inconnus ou suspects. Même si les e-mails prétendent contenir des informations précieuses, assurez-vous de vérifier la source de l'e-mail et le fichier qu'il vous demande de télécharger. Assurez-vous également d'exécuter la dernière version du logiciel sur votre ordinateur avec toutes les dernières mises à jour de sécurité. L'installation d'un antivirus peut également aider à détecter le malware avant qu'il ne soit exécuté sur le système.