Le code source d'un nouveau de cheval de Troie ciblant les services bancaires a été publié en ligne. Des cybercriminels non qualifiés pourraient s’emparer du malware pour lancer de puissantes attaques contre les utilisateurs. Le Trojan qui a pour nom Nuclear Bot est apparu pour la première fois début décembre sur des forums illégaux où il était proposé au prix de 2 500 dollars. Le malware est capable de voler et d’injecter des informations depuis et vers des sites web ouverts dans les navigateurs Mozilla Firefox, Internet Explorer et Google Chrome. Il est également capable d’ouvrir un proxy local ou un service de bureau distant masqué. En fait, Nuclear Bot a toutes les caractéristiques des chevaux de Troie bancaires utilisés par les attaquants pour contourner les contrôles de sécurité des sites web des banques en ligne et réaliser leurs méfaits. Par exemple, les fonctions de proxy et de bureau distant permettent aux pirates d’effectuer des transactions frauduleuses en passant par le navigateur de la victime quand ils parviennent à obtenir le second facteur d'authentification en trompant l’utilisateur.
Une chose intéressante à propos de Nuclear Bot, c'est le peu de succès rencontré par son auteur dans la commercialisation de son malware auprès d'autres cybercriminels. Selon des chercheurs d'IBM qui ont suivi de près les pérégrinations du cheval de Troie, pendant plusieurs mois, le créateur de Nuclear Bot a brisé différentes règles non écrites de la communauté des cybercriminels, ce qui lui a fait perdre toute crédibilité. Par exemple, l'auteur du programme n'a pas fourni les versions tests du logiciel aux administrateurs du forum ou aux acheteurs potentiels et il a utilisé différents noms sur les forums sur lesquels il a fait la promotion de son malware. Même s'il n'a pas attiré d’acquéreurs, le cheval de Troie est cependant bien réel et très puissant. Et, pour prouver sa légitimité en tant que codeur de malware, l'auteur de Nuclear Bot a livré lui-même le code source de son cheval de Troie, ce qui est également très inhabituel. Jusqu’ici, la divulgation du code source des autres chevaux de Troie bancaires comme Zeus, Gozi et Carberp résultait généralement de fuites involontaires.
Des attaques attendues dans les semaines à venir
Quelle qu’en soit la raison, chaque fois qu’un événement de ce genre survient, la conséquence pour le reste de l'Internet est rarement positive. « À partir du moment où le code source est disponible publiquement, la diffusion du malware augmente », ont déclaré les chercheurs d'IBM dans un blog. « Le code se retrouve dans des projets existants ». Des chercheurs de X-Force pensent que NukeBot pourrait adopter le même parcours, d'autant que, selon les affirmations du développeur, son code ne reproduit pas le code fuité d’autres malwares. À tout le moins, la disponibilité du code source met le malware entre les mains de cybercriminels qui n'ont pas les ressources nécessaires pour construire eux-mêmes quelque chose ou pour acheter une solution prête à l'emploi développée par un autre. « Pour l’instant, NukeBot n'a pas été détecté dans des attaques en cours et rien ne permet de dire s’il a des cibles définies », ont déclaré les chercheurs d'IBM. « Mais cette situation pourrait évoluer ».