IBM dévoile UnregStealer, un cheval de Troie bancaire malveillant ciblant des banques d’Amérique latine

IBM a mis au jour un cheval de Troie bancaire connu sous le nom d’UnregStealer, qui cible des banques d’Amérique latine tout en se faisant passer pour une extension du navigateur Chrome. Le chercheur senior en menaces Itzhak Chimino a rapporté que le logiciel malveillant trompe les utilisateurs en les poussant à l’installer en affichant de fausses alertes de sécurité concernant des mises à jour obligatoires des certificats SSL. Le cheval de Troie fonctionne avec une supervision humaine manuelle, ce qui le rend presque invisible pour les systèmes de bac à sable et de détection comportementale qui ne voient jamais le chargement s’activer. Cette méthode d’exploitation permet à UnregStealer de voler des cookies de session, des mots de passe, des mots de passe à usage unique (one-time passwords) et des numéros de compte aux victimes qui visitent des portails bancaires ciblés.

UnregStealer se fait passer pour une mise à jour de certificat SSL

D’après Chimino, UnregStealer trompe les utilisateurs grâce à des alertes de sécurité fabriquées. En se basant sur la convention de nommage des exécutables et le schéma de diffusion, les victimes se voient présenter ce qui ressemble à une alerte de sécurité indiquant que leur navigateur nécessite une mise à jour obligatoire du certificat SSL. Le certificat est entièrement fictif, et aucune exigence de ce type n’existe pour le navigateur. Il s’agit simplement d’une histoire de couverture convaincante destinée à pousser la victime à exécuter un fichier exécutable.

Le malware capture les identifiants bancaires via une surveillance de session

Lorsqu’un utilisateur navigue sur Internet, le malware exécute un script qui vérifie si la victime visite l’un des sites figurant dans la liste des portails bancaires ciblés. Dans l’affirmative, le malware dérobe les cookies de session du site bancaire que la victime consulte. À chaque fois qu’un champ est cliqué et qu’une information est saisie, le malware capture des informations privilégiées telles que des mots de passe, des mots de passe à usage unique (one-time passwords) et des numéros de compte.

L’opération manuelle permet d’éviter les systèmes de détection

Chimino a expliqué que ce cheval de Troie implique un opérateur réel qui surveille chaque session de victime en direct et déclenche manuellement. Cette variante rend la campagne presque invisible pour les bacs à sable et les systèmes de détection comportementale qui ne voient jamais le chargement s’activer. Une fois les informations capturées, la prochaine action d’UnregStealer est déterminée par son opérateur humain.

IBM identifie un potentiel d’extension du ciblage

D’après Chimino, le malware bancaire UnregStealer dispose de la capacité et du potentiel pour représenter une menace plus importante. Les schémas d’infrastructure observés suggèrent un opérateur doté de la capacité et de la motivation d’étendre le ciblage au-delà de ce que cette enquête a confirmé.

FAQ

Qu’est-ce qu’UnregStealer et comment cible-t-il les victimes ?

UnregStealer est un cheval de Troie bancaire qui cible des banques d’Amérique latine en se faisant passer pour une extension du navigateur Chrome. Il trompe les utilisateurs en les poussant à l’installer via de fausses alertes de sécurité concernant des mises à jour obligatoires des certificats SSL, qui sont entièrement fabriquées.

Comment UnregStealer évite-t-il les systèmes de détection ?

Le malware implique un opérateur réel qui surveille chaque session de victime en direct et déclenche manuellement. Cette opération manuelle rend la campagne presque invisible pour les bacs à sable et les systèmes de détection comportementale qui ne voient jamais le chargement s’activer.

Quelles informations UnregStealer vole-t-il aux victimes ?

UnregStealer vole les cookies de session des sites bancaires et capture des informations privilégiées telles que des mots de passe, des mots de passe à usage unique (one-time passwords) et des numéros de compte chaque fois qu’un champ est cliqué et qu’une information est saisie sur des portails bancaires ciblés.