Un malware Apache permet le vol de coordonnées bancaires

Un module Apache malicieux a été utilisé pour pousser un contenu web compromis sur des sites bancaires. Objectif : tromper l'internaute et lui subtiliser ses coordonnées d'accès.

C'est l'éditeur d'antivirus Eset qui tire la sonnette d'alarme. Sur son blog, il démontre comment le site d'une banque, reposant sur le serveur Apache, a pu se faire pirater. Objectif de l'opération : récupérer les données d'accès des clients à leur espace personnel, et ainsi subtiliser des données confidentielles ou effectuer des actions illicites.

Pour mettre en place leur plan, les pirates se sont appuyés sur un malware Apache pour pousser un formulaire d'accès compromis sur le site de la banque, et ainsi récupérer les logins et mots de passe des clients. Le code malicieux ne serait autre qu'une déclinaison du malware Win32/Zbot - qui est rattaché au botnet Zeus. Les données volées étant ensuite transmises à un serveur hébergé en Lithuanie doté du kit d'exploitation Sweet Orange. Le dispositif aurait été déployé sur trois pays différents, complexifiant ainsi la gestion juridique du dossier.

Selon Eset, cette attaque pourrait cibler plusieurs institutions bancaires en Europe et en Russie.