Sinowal : 300 000 comptes bancaires corrompus en 3 ans

Le par  |  1 commentaire(s)
Phishing

En presque 3 ans, le cheval de Troie dénommé Sinowal a permis de dérober des données relatives à 300 000 comptes bancaires. La menace court toujours.

PhishingC'est visiblement la nouvelle terreur dans le milieu des malwares à forte proportion de chevaux de Troie, pourtant Sinowal n'est pas une recrue toute fraîche des cybercriminels et sévit depuis février 2006 sous d'autres noms d'emprunt comme Torpig et Mebroot.

Identifié mais toujours en activité selon les chercheurs de RSA FraudAction Research Lab, presque en admiration devant une telle longévité et l'infrastructure déployée par les auteurs qui ont réussi à maintenir les connexions entre le troyen et leur base de données.

Sinowal sévit dans un domaine plutôt lucratif avec une prédilection pour les comptes bancaires en ligne dont il cherche à dérober les identifiants et autres données personnelles. Les chiffres sont plutôt alarmants avec des données dérobées relatives à plus de 300 000 comptes bancaires différents (100 000 sur les 6 derniers mois), et un troyen réactif à plus de 2 700 URLs de banques en ligne et services financiers. Les institutions touchées couvrent l'Amérique du Nord (USA et Canada), l'Amérique latine, l'Asie (dont la Chine) et l'Europe avec notamment... la France. Faut-il y voir un indice quant à la nationalité des cybercriminels derrière Sinowal, RSA note en tout cas que la Russie est épargnée.

Le mode opératoire de Sinowal est machiavélique. Pour se dissimuler dans une machine, il a recours à des éléments de rootkit et reste en sommeil jusqu'à ce que l'utilisateur l'active via l'URL d'un site bancaire (l'une des 2 700) saisie dans son navigateur. Un moteur d'injection HTML entre alors en action pour ajouter des champs sur la page Web où il est demandé d'entrer des mots de passe et autres données. Ces informations sont ensuite transmises à un serveur sous le contrôle des auteurs de Sinowal qui ont bien sûr la malice de le faire fréquemment évoluer pour compliquer la tâche des sociétés de sécurité.

RSA a fait part de ses informations glanées sur Sinowal aux institutions bancaires concernées.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #353131
Un vers qui se dissimule sur une machine et qui fait de l'injection html pour récolter des informations bancaires : "whaou !!! ... mais ... "

mais ... mais ...
As-t-on affaire à une souche multi-service (entrée) multi-os (duplication, dissimulation) multi-navigateur (injection html) ?
As-t-on affaire à un banal ver exploitant un service en écoute ou un IM bien précis, visant un navigateur bien précis sur un système d'exploitation bien précis ?

Vu qu'on est sur un site pour public averti, mais pas que, pourquoi ne pas mentionner plus d'informations techniques ?

Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]