Comment le virus "Eurograbber" a volé 36 millions d'euros partout en Europe | Geek Café
jeudi 6 décembre

Comment le virus « Eurograbber » a volé 36 millions d’euros partout en Europe

Un virus sophistiqué appelé « Eurograbber » a réussit en peu de temps à détourner plus de 36 millions d’euros depuis près de 30.000 comptes en banques de particuliers et d’entreprises partout en Europe, en contournant le système d’authentification à deux facteurs par SMS.

En lisant le rapport détaillé mis à disposition par l’entreprise de sécurité informatique Check Point que vous pouvez consulter dans son intégralité ici (PDF), on ressent comme souvent pour les attaques informatiques un mélange de dégoût et de respect car il faut avouer que l’attaque est bien construite , élégante et efficace.

L’authentification à deux facteur SMS est supposée protéger le client d’un vol de mot de passe d’accès à son compte en ligne en l’obligeant pour effectuer un transfert d’argent à entrer un code TAN « transaction authorization number” qu’il reçoit sur son téléphone portable.

Voila comment l’attaque se déroule et permet au virus de passer outre cette sécurité mise en place par un grand nombre de banques.

1. Infection de l’ordinateur de la victime

Jusqu’ici du très classique, la future victime est invitée par un moyen ou un autre (généralement dans un email de pishing) à cliquer sur un lien qui va lui demander de télécharger et d’installer un programme qui contient en fait le Cheval de Troie (une version modifée de Zeus, SpyEye, ou CarBerp).

2. Phase d’attente et première attaque

Une fois installé, le virus restera silencieux et sans symptôme sur l’ordinateur victime jusqu’à ce qu’il détecte que l’utilisateur se connecte à son compte bancaire en ligne. Lors de cette première connexion, le virus va injecter sur la page d’authentification de la banque un petit formulaire de « sécurité » demandant de confirmer son numéro de téléphone et le genre de celui-ci (Android, iOS, Blackberry…).

3. Stockage des données du téléphone

Le numéro et le type de téléphone de la victime sont transférés sur une des bases de données appartenant au créateur du virus. Ces bases de données sont dupliquées sur plusieurs domaines et protégées derrière des proxy de sorte qu’il soit dur de toutes les trouver.

4. Le téléphone est lui aussi infecté

Le serveur de l’attaquant envoie un SMS de « sécurité » sur le téléphone de la victime lui demandant d’installer un patch de sécurité pour son téléphone en cliquant sur un lien. Il faut se rappeler qu’à ce moment, l’utilisateur vient de se connecter à sa banque et de confirmer son numéro de téléphone… tout cela parait donc assez logique de son point de vue.
Evidemment ce lien enclenche l’installation de la version mobile du Cheval de Troie « Zeus » sur le téléphone, ce qui va permettre au virus de prendre le contrôle du mobile de la victime.

5, 6 et 7. Le virus confirme au créateur que l’attaque est prête

C’est un des moments où il faut admirer la sophistication du processus. En même temps que l’étape 4. sur le téléphone, le virus injecte encore une fois sur le site internet de la banque un formulaire qui demande à l’utilisateur de confirmer qu’il a bien installé la mise à jour de sécurité sur son téléphone.

Pour cela, le virus en s’installant sur le téléphone, donne à l’utilisateur un code unique qu’il devra rentrer sur le web. Pour la victime, cela semble confirmer que tout se passe bien et que tout est contrôlé par la banque, pour l’attaquant le fait que l’utilisateur entre ce code veut dire que tout est prêt pour l’attaque principale.

L’attaque principale

Une fois toutes les pièces du puzzle en place, le virus entre dans une autre période de silence, en attendant la prochaine connexion de l’utilisateur à sa banque en ligne pour ne pas éveiller les soupçons directement après l’épisode du téléphone.

Une fois que l’utilisateur se reconnecte à son compte donc, le virus présent sur l’ordinateur lance immédiatement une demande de transaction d’un pourcentage de l’argent de la victime (les attaques vontt de 500 à 250.000 euros) vers un compte appartenant à l’attaquant. Pour confirmer cette transaction, la banque envoie un SMS sur le téléphone du client avec son « TAN ». Seulement voila, le virus sur le téléphone intercepte ce SMS, le cache à l’utilisateur, lis le TAN, transmet le TAN au serveur de l’attaquant qui va lui-même le transmettre à l’ordinateur infecté. Et voila transaction effectuée, et sans que l’utilisateur n’en sache rien !

Tout cela peut paraître complexe et un peu tiré par les cheveux et pourtant…. 36 millions d’euros y sont passés. Conclusion, ne cliquez pas sur les liens dans les emails douteux… jamais jamais !

Créateur de Geek Café. Thésard flemmard spécialisé en procrastination, j’aime la science mais ce n’est pas toujours réciproque

Facebook Twitter Google+ 

1 Commentaire

Ecrire un commentaire

requis

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>