Les rootkits et la fraude bancaire
Date : 28 Février 2006
Un exemple frappant est l'apparition ce mois-ci d'un rootkit ayant comme fonctionnalité principale (hormis sa furtivité) d'intercepter les communications web de l'utilisateur et notamment celles liées à des transactions avec des banques en ligne.
Ce rootkit est détecté par les éditeurs anti-virus comme une variante du cheval de Troie "Haxdoor".
Sa principale fonctionnalité est d'intercepter les identifiants des transactions bancaires vers les domaines suivants :
- Wells
- Bank of
- Barclays
- HSBC
- BankOne
- Yorkshire Bank
- WoolWich
- Smile Banking
- NationWide
- Co-Operative Bank
- Alliance & Leicester
- RasBank
- CREDEM
- Bancaintesem
- Banesto
- Lloyds
- Bank Of
- Halifax
Pour cela, il intercepte toutes les connexions HTTP
et extrait les informations de ces dernières en les redirigeant sur un site web
ou sur une adresse e-mail ("corpse_at_mailserver.ru").
Une des particularités de ce rootkit/malware est d'intercepter également les connexions SSL des navigateurs et notamment celles initiées via Internet Explorer. Cela est rendu possible par le fait que "Haxdoor" fonctionne dans le mode utilisateur du système (et non dans la mode noyau) afin de pouvoir intercepter les données de l'utilisateur avant leur chiffrement par l'intermédiaire de la DLL "wininet.dll" et de la fonction "HttpSendRequestA()" d'Internet Explorer.
Afin que la fonctionnalité d'interception soit activée à bon escient, elle s'attache aux programmes suivants et devient opérationnelle lors de leur exécution :- iexplorer.exe (Internet Explorer)
- mozilla.exe (Mozilla)
- thebat.exe (TheBat – client de messagerie)
- myie.exe (Surcouche du navigateur Internet Explorer)
- outlook.exe (Microsoft Outlook)
- msn.exe (Microsoft MSN)
- icq.exe
(client ICQ)
Cependant, des variantes de ce rootkit/malware activent les fonctionnalités d'interception dès la connexion de l'utilisateur à travers le processus de "log on" ("Winlogon.exe") et le processus de l'explorer de Windows ("explorer.exe").
"Haxdoor" essaie de dérober également des mots de passe relatifs aux clients de messagerie/client ICQ/messagerie instantanée.
Il empêche également les connexions aux sites des éditeurs d'anti-virus et tente de désactiver les gardes-barrière personnels. De même selon certaines variantes de ce rootkit/malware, il ouvre une porte dérobée soit au travers d'un canal IRC (serveur : "irc.localirc.net") ou soit via des ports réseau ouverts (7080, 8008 ou 16661).
Il est à noter cependant que "Haxdoor" est détecté par les anti-virus à jour lors de son installation sur le système. Il peut être également détecté une fois présent sur le système, mais les anti-virus employés devront fonctionner en mode "noyau" afin de ne pas se laisser piéger par les fonctionnalités de furtivité du rootkit.
Conclusion :
Cette tendance montre une fois de plus la
mutualisation des technologies malveillantes (porte dérobée, rootkit, …) afin
d'optimiser la robustesse des malwares vis-à-vis des anti-virus et autres
produits de sécurité. Cette problématique fait l'objet d'études de plus en plus poussées et donne lieu à des techniques novatrices comme les malwares de type "Stealth by Design" (SbD) qui sont des programmes qui simulent un mini système d'exploitation au sein même du système natif pour éviter les interactions avec ce dernier et d'être ainsi détectés.
Ce constat réduit la marge de manœuvre entre la découverte d'un malware et sa détection car la furtivité du programme peut le rendre invisible à la fois aux yeux de l'utilisateur, mais aussi à ceux de certains anti-virus pendant un laps de temps qui peut être de plus en plus conséquent.
Malware "Haxdoor" :
- http://www.securescience.net/advisories/SSC_MSAT_FEB_02_2006-public.pdf
- http://www.f-secure.com/weblog/archives/archive-022006.html#00000821
- http://www.f-secure.com/v-descs/haxdoor.shtml
- http://securityresponse.symantec.com/avcenter/venc/data/backdoor.haxdoor.e.html
