Les experts de l’équipe de recherche de Sunbelt Software, éditeur de solutions de sécurité pour Windows, viennent de lever le voile sur un vaste réseau de vol d’identité en ligne. Selon l’entreprise, les pirates auraient utilisé un logiciel espion de type "keylogger" pour enregistrer les frappes du clavier de leurs victimes.

Le keylogger baptisé "Serv. SSA-KeyLogger" est un programme caché qui a pour rôle, entre autres, de dérober secrètement les données des internautes, tel que les identifiants et les mots de passe permettant l’accès à certains sites Internet.

Parmi ces sites, l’équipe de Sunbelt a pu recenser les sites de banque en ligne, Paypal, eBay ainsi que d’autres sites qui utilisent des formulaires html pour recueillir des informations personnelles. Le keylogger est une nouvelle variante d’une famille de chevaux de Troie déjà connus sous le nom Dumaru ou Nibu.

"Un chercheur de Sunbelt a pu détecter ce keylogger, après avoir démasqué un vaste réseau de vol d’identité en ligne, qui avait compromis les données personnelles de milliers d’internautes, à leur insu", précise le communiqué de l’éditeur.

Les données récoltées ont été enregistrées dans un fichier hébergé sur un serveur basé aux Etats-Unis. Les experts de Sunbelt, qui ont pu se le procurer, expliquent qu’il contient des informations confidentielles sur les clients des plus importants établissements financiers du monde entier : "Il est possible d’accéder au compte des clients de pratiquement toutes les banques répertoriées (dans le fichier)", a indiqué Eric Sites, vice-président de la recherche et du développement de l’éditeur.

Eric Sites explique qu’il est possible avec ce fichier d’avoir accès à un numéro de carte de crédit, à la date d’expiration et au cryptogramme de sécurité, avec en prime le code secret, nom et adresse de la victime. Bref, tout pour permettre à quiconque d’utiliser la carte pour faire des achats.

"A de nombreuses reprises, nous avons été si écoeurés par nos trouvailles que nous avons décidé de contacter directement les personnes menacées de perdre beaucoup d’argent", a indiqué le président de Sunbelt, Alex Eckelberry sur un blog samedi dernier.

Alex Eckelberry poursuit en expliquant que les pirates auraient utilisé le spyware "CoolWebSearch", qui une fois installé (sans consentement) sur la machine de la victime, désactive les paramètres de sécurité d’Internet Explorer et installe le keylogger "Serv. SSA-KeyLogger".

C’est en étudiant le comportement du spyware CoolWebSearch (CWS) le 4 août dernier, que Patrick Jordan, un des chercheurs de Sunbelt, a découvert que la machine infectée s’était transformée en ordinateur zombie [1].

Pour rappel, les ordinateurs zombies sont des ordinateurs préalablement infectés par un ver informatique ou un cheval de Troie, et qui sont ensuite groupés en réseaux dans le but d’accomplir une tâche commune, souvent malveillante comme par exemple l’envoi de spam, les attaques par déni de service distribué ou de phishing, etc...

"Il s’est rendu compte que la machine qu’il testait était devenue un zombie qui appelait un serveur distant. Il est remonté jusqu’à ce serveur et a découvert une fraude ultra-sophistiquée", relate Eckelberry.

Sunbelt propose, dès à présent, un outil de détection et de suppression de ce spyware. Une version d’évaluation de CounterSpy d’une validité de 15 jours est proposée par l’éditeur pour permettre aux utilisateurs de procéder à une analyse approfondie et de supprimer gratuitement ce keylogger ainsi que de nombreuses autres menaces de spyware.

"C’est un spyware très dangereux et nous invitons nos utilisateurs à scanner leurs ordinateurs immédiatement pour déterminer s’ils sont infectés", déclare Alex Eckelberry.