ZDNetDepuis cet été se propage sur Internet un nouveau malware baptisé “Carberp”. Et on en sait désormais un peu plus sur son fonctionnement.
Tout d’abord, c’est un malware bancaire, comme beaucoup d’autres : il cherche à dérober les identifiants d’accès à des sites privatifs, et en particulier aux sites transactionnels des institutions financières. Carberp a commencé sa carrière discrètement, d'abord en tant que simple "downloader" -- c'est-à-dire un cheval de Troie dont le seul objectif est de prendre le contrôle d'une machine infectée et d'y télécharger une charge malveillante, soit bien souvent un cocktail d'autres spywares. Mais il y a quelques mois, une évolution notable de Carberp a été détectée : il ne s'agit plus simplement d'un "taxi" pour les autres malwares, et il embarque désormais ses propres fonctions de vol d'information.
A l’instar de ses principaux concurrents, il dispose de deux modes d’opération :
* un mode “non ciblé”, dans lequel il intercepte tous les identifiants et mots de passe saisis à travers un formulaire d’authentification SSL. Dans ce mode d’opération, le malware semble utiliser le critère “SSL” pour déterminer qu’il s’agit d’un site intéressant ;
* un mode “ciblé”, dans lequel le malware est capable de transmettre aux pirates les identifiants dérobés en temps réel, ainsi que de réécrire les formulaires d’authentification pour y injecter de nouvelles questions à poser à l’internaute (par exemple pour lui demander les détails de sa carte bancaire).
Jusqu’ici, rien de bien nouveau sous le soleil ; on peut toutefois noter que le marché du malware est particulièrement dynamique, puisque de nouvelles offres continuent d’affluer, et qu’il reste beaucoup de place pour de tels produits, malgré une concurrence de plus en plus acharnée -- d'ailleurs Carberp intègre, à l’instar de ses concurrents, un module “mini anti-virus” permettant d’éliminer les autres malwares fonctionnant sur le système infecté, afin de s’assurer un contrôle exclusif de la machine.
Ce nouveau malware confirme également que Firefox est devenu une cible de choix pour les pirates : Torpig, URLZone, SpyEye et ZeuS disposaient déjà de fonctions d’infection de ce navigateur dès 2009 ; certains sous forme de modules complémentaires à acheter séparément, et de plus en plus, en intégrant directement cette fonction dans le coeur du malware. Et c’est peut-être ce qui est nouveau : Firefox est en train de perdre son statut de navigateur alternatif. Son succès a fait de lui “un autre acteur dominant du marché”, qui incarne certes une philosophie et une architecture différentes, mais qui focalise désormais l’attention des criminels. Le même sort va peut-être frapper Chrome, qui atteint déjà 8% de parts de marché (contre respectivement 23% et 60% pour Firefox et Internet Explorer, selon la société Net Applications).
@+
