Publicité

De temps en temps, une nouvelle variante de malware apparaît comme un rappel rapide que les enjeux de sécurité ne cessent d'augmenter. Le cheval de Troie bancaire QakBot / Pinkslipbot en fait partie. Le malware, qui ne se contente pas de récolter les informations d'identification bancaires, peut désormais s'attarder et agir en tant que serveur de contrôle - longtemps après qu'un produit de sécurité ait cessé de fonctionner.

Comment OakBot / Pinkslipbot reste-t-il actif? Et comment pouvez-vous le supprimer complètement de votre système?

QakBot / Pinkslipbot

Ce cheval de Troie bancaire porte deux noms: QakBot et Pinkslipbot. Le malware lui-même n'est pas nouveau. Il a été déployé pour la première fois à la fin des années 2000, mais pose toujours des problèmes plus d'une décennie plus tard. Désormais, le cheval de Troie a reçu une mise à jour qui prolonge les activités malveillantes, même si un produit de sécurité réduit son objectif d'origine.

L'infection utilise le plug-and-play universel (UPnP) pour ouvrir les ports et autoriser les connexions entrantes de n'importe qui sur Internet. Pinkslipbot est ensuite utilisé pour récolter les informations d'identification bancaires. La gamme habituelle d'outils malveillants: enregistreurs de frappe, voleurs de mots de passe, attaques par navigateur MITM, vol de certificat numérique, informations d'identification FTP et POP3, etc. Le malware contrôle un botnet qui contiendrait plus de 500 000 ordinateurs. (

Qu'est-ce qu'un botnet, de toute façon? Votre PC est-il un zombie? Et qu'est-ce qu'un ordinateur zombie, de toute façon? [MakeUseOf explique]Vous êtes-vous déjà demandé d'où venait tout le spam Internet? Vous recevez probablement des centaines d'e-mails indésirables filtrés par spam chaque jour. Est-ce à dire qu'il y a des centaines et des milliers de personnes assises là-bas ... Lire la suite )

Le malware se concentre principalement sur le secteur bancaire américain, avec 89 pour cent des appareils infectés trouvés dans les installations bancaires du Trésor, des entreprises ou commerciales.

infection des secteurs bancaires pinkslipbot
Crédit d'image: IBM X-Force

Une nouvelle variante

Chercheurs de McAfee Labs découvert la nouvelle variante Pinkslipbot.

«Comme UPnP suppose que les applications et les appareils locaux sont fiables, il n'offre aucune protection de sécurité et est sujet aux abus de toute machine infectée sur le réseau. Nous avons observé plusieurs serveurs proxy de contrôle Pinkslipbot hébergés sur des ordinateurs distincts sur la même maison réseau ainsi que ce qui semble être un point d'accès Wi-Fi public », explique Sanchit, chercheur McAfee Anti-Malware Karve. «À notre connaissance, Pinkslipbot est le premier malware à utiliser des machines infectées comme serveurs de contrôle HTTPS et le deuxième malware à base exécutable à utiliser UPnP pour la redirection de port après la infâme ver Conficker En 2008."

Par conséquent, l'équipe de recherche McAfee (et d'autres) tentent d'établir exactement comment une machine infectée devient un proxy. Les chercheurs pensent que trois facteurs jouent un rôle important:

  1. Une adresse IP située en Amérique du Nord.
  2. Une connexion Internet haut débit.
  3. La possibilité d'ouvrir des ports sur une passerelle Internet en utilisant UPnP.

Par exemple, le logiciel malveillant télécharge une image à l'aide du service Comcast’sSpeed ​​Test pour vérifier à nouveau que la bande passante est suffisante.

Une fois que Pinkslipbot a trouvé une machine cible appropriée, le logiciel malveillant émet un paquet Simple Service Discovery Protocol pour rechercher des périphériques de passerelle Internet (IGD). À son tour, l'IGD est vérifié pour la connectivité, avec un résultat positif en voyant la création de règles de redirection de port.

En conséquence, une fois que l'auteur du logiciel malveillant décide si une machine convient à l'infection, un binaire cheval de Troie se télécharge et se déploie. Il est responsable de la communication proxy du serveur de contrôle.

Difficile à oblitérer

Même si votre suite antivirus ou anti-malware a réussi à détecter et à supprimer QakBot / Pinkslipbot, il est possible qu'elle serve toujours de proxy de serveur de contrôle pour le malware. Votre ordinateur pourrait bien être encore vulnérable, sans que vous vous en rendiez compte.

«Les règles de redirection de port créées par Pinkslipbot sont trop génériques pour être supprimées automatiquement sans risquer des erreurs de configuration réseau accidentelles. Et comme la plupart des logiciels malveillants n'interfèrent pas avec la redirection de port, les solutions anti-malware peuvent ne pas annuler ces modifications », explique Karve. "Malheureusement, cela signifie que votre ordinateur peut toujours être vulnérable aux attaques extérieures même si votre produit anti-programme malveillant a réussi à supprimer tous les binaires Pinkslipbot de votre système."

Le malware présente des capacités de ver Virus, logiciels espions, logiciels malveillants, etc. Expliqué: Comprendre les menaces en ligneLorsque vous commencez à penser à toutes les choses qui pourraient mal tourner lorsque vous naviguez sur Internet, le Web commence à ressembler à un endroit assez effrayant. Lire la suite , ce qui signifie qu'il peut se répliquer automatiquement via des lecteurs réseau partagés et d'autres supports amovibles. Selon les chercheurs d'IBM X-Force, il a provoqué des verrouillages Active Directory (AD), forçant les employés des organisations bancaires concernées à se déconnecter pendant des heures.

Un petit guide de suppression

McAfee a publié le Outil de détection de proxy et de suppression de redirection de port Pinkslipbot Control Server (ou PCSPDPFRT, pour faire court… je plaisante). L'outil est disponible en téléchargement ici. De plus, un court manuel d'utilisation est disponible ici [PDF].

Une fois que vous avez téléchargé l'outil, faites un clic droit et Exécuter en tant qu'administrateur.

L'outil analyse automatiquement votre système en «mode de détection». S'il n'y a pas d'activité malveillante, l'outil se fermera automatiquement sans apporter de modifications à la configuration de votre système ou de votre routeur.

Outil de suppression du serveur de contrôle proxy pinkslipbot par mcafee

Cependant, si l'outil détecte un élément malveillant, vous pouvez simplement utiliser le /del pour désactiver et supprimer les règles de redirection de port.

Éviter la détection

Il est quelque peu surprenant de voir un cheval de Troie bancaire de cette sophistication.

Outre le ver Conficker susmentionné, «les informations sur l'utilisation malveillante de l'UPnP par des logiciels malveillants sont rares». Plus pertinemment, c'est un signal clair que les appareils IoT utilisant UPnP sont une cible (et une vulnérabilité) énorme. Alors que les appareils IoT deviennent omniprésents, vous devez admettre que les cybercriminels ont une opportunité en or. (Même votre réfrigérateur est en danger! Le réfrigérateur intelligent de Samsung vient d'être mis en marche. Que diriez-vous du reste de votre maison intelligente?Une faille avec le réfrigérateur intelligent de Samsung a été découverte par la firme britannique Infosec Pen Test Parters. L'implémentation du cryptage SSL par Samsung ne vérifie pas la validité des certificats. Lire la suite )

Mais alors que Pinkslipbot se transforme en une variante de logiciel malveillant difficile à supprimer, il n'est toujours classé que 10 dans les types de logiciels malveillants financiers les plus répandus. La première place est toujours détenue par Client Maximus.

ibm principaux types de logiciels malveillants financiers
Crédit d'image: IMB X-Force

L'atténuation reste la clé pour éviter les logiciels malveillants financiers, que ce soit une entreprise, une entreprise ou un utilisateur à domicile. Éducation de base contre le phishing Comment repérer un e-mail de phishingAttraper un e-mail de phishing est difficile! Les escrocs se font passer pour PayPal ou Amazon, essayant de voler votre mot de passe et vos informations de carte de crédit, leur tromperie est presque parfaite. Nous vous montrons comment repérer la fraude. Lire la suite et autres formes d'activités malveillantes ciblées Comment les fraudeurs utilisent les e-mails de phishing pour cibler les étudiantsLe nombre d'escroqueries visant les étudiants est en augmentation et beaucoup tombent dans ces pièges. Voici ce que vous devez savoir et ce que vous devez faire pour les éviter. Lire la suite aller de façon massive pour empêcher ce type d'infection d'entrer dans une organisation - ou même chez vous.

Affecté par Pinkslipbot? Était-ce à la maison ou dans votre organisation? Avez-vous été verrouillé hors de votre système? Faites-nous part de vos expériences ci-dessous!

Crédit d'image: akocharm via Shutterstock

Gavin est rédacteur principal pour MUO. Il est également rédacteur en chef et gestionnaire SEO pour le site frère de MakeUseOf, Blocks Decoded. Il a un BA (Hons) écriture contemporaine avec des pratiques d'art numérique pillé des collines du Devon, ainsi que plus d'une décennie d'expérience professionnelle en écriture. Il aime beaucoup de thé.