Vous êtes sur le site public du Cert-IST
Les rootkits et la fraude bancaire

Date :28 Février 2006

Publication: Article

Les rootkits sont des programmes permettant de camoufler des éléments déposés par un pirate sur une machine. Ils s'orientent de plus en plus vers des activités liées à la fraude bancaire et viennent compléter dorénavant la panoplie des fonctionnalités des Malwares.

Un exemple frappant est l'apparition ce mois-ci d'un rootkit ayant comme fonctionnalité principale (hormis sa furtivité) d'intercepter les communications web de l'utilisateur et notamment celles liées à des transactions avec des banques en ligne.

 Ce rootkit est détecté par les éditeurs anti-virus comme une variante du cheval de Troie "Haxdoor".

 Sa principale fonctionnalité est d'intercepter les identifiants des transactions bancaires vers les domaines suivants :

  • Wells Fargo
  • Bank of America
  • Barclays
  • HSBC
  • BankOne
  • Yorkshire Bank
  • WoolWich
  • Smile Banking
  • NationWide
  • Co-Operative Bank
  • Alliance & Leicester
  • RasBank
  • CREDEM
  • Bancaintesem
  • Banesto
  • Lloyds
  • Bank Of Scotland
  • Halifax


Pour cela, il intercepte toutes les connexions HTTP et extrait les informations de ces dernières en les redirigeant sur un site web ou sur une adresse e-mail ("corpse_at_mailserver.ru").

Une des particularités de ce rootkit/malware est d'intercepter également les connexions SSL des navigateurs et notamment celles initiées via Internet Explorer. Cela est rendu possible par le fait que "Haxdoor" fonctionne dans le mode utilisateur du système (et non dans la mode noyau) afin de pouvoir intercepter les données de l'utilisateur avant leur chiffrement par l'intermédiaire de la DLL "wininet.dll" et de la fonction "HttpSendRequestA()" d'Internet Explorer.

Afin que la fonctionnalité d'interception soit activée à bon escient, elle s'attache aux programmes suivants et devient opérationnelle lors de leur exécution :
  • iexplorer.exe (Internet Explorer)
  • mozilla.exe (Mozilla)
  • thebat.exe (TheBat – client de messagerie)
  • myie.exe (Surcouche du navigateur Internet Explorer)
  • outlook.exe (Microsoft Outlook)
  • msn.exe (Microsoft MSN)
  • icq.exe (client ICQ)

Cependant, des variantes de ce rootkit/malware activent les fonctionnalités d'interception dès la connexion de l'utilisateur à travers le processus de "log on" ("Winlogon.exe") et le processus de l'explorer de Windows ("explorer.exe").

"Haxdoor" essaie de dérober également des mots de passe relatifs aux clients de messagerie/client ICQ/messagerie instantanée.

Il empêche également les connexions aux sites des éditeurs d'anti-virus et tente de désactiver les gardes-barrière personnels. De même selon certaines variantes de ce rootkit/malware, il ouvre une porte dérobée soit au travers d'un canal IRC (serveur : "irc.localirc.net") ou soit via des ports réseau ouverts (7080, 8008 ou 16661).

Il est à noter cependant que "Haxdoor" est détecté par les anti-virus à jour lors de son installation sur le système. Il peut être également détecté une fois présent sur le système, mais les anti-virus employés devront fonctionner en mode "noyau" afin de ne pas se laisser piéger par les fonctionnalités de furtivité du rootkit.

Conclusion :

Cette tendance montre une fois de plus la mutualisation des technologies malveillantes (porte dérobée, rootkit, …) afin d'optimiser la robustesse des malwares vis-à-vis des anti-virus et autres produits de sécurité. Cette problématique fait l'objet d'études de plus en plus poussées et donne lieu à des techniques novatrices comme les malwares de type "Stealth by Design" (SbD) qui sont des programmes qui simulent un mini système d'exploitation au sein même du système natif pour éviter les interactions avec ce dernier et d'être ainsi détectés.

Ce constat réduit la marge de manœuvre entre la découverte d'un malware et sa détection car la furtivité du programme peut le rendre invisible à la fois aux yeux de l'utilisateur, mais aussi à ceux de certains anti-virus pendant un laps de temps qui peut être de plus en plus conséquent.


Pour plus d'information :

Malware "Haxdoor" :
Malwares de type "Stealth by Design" (SbD) :