Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Virus Mimail : l’arnaque continue

auteur de l'article Aurélien Cabezon , dans la rubrique Menaces

Commentaires Commentaires fermés sur Virus Mimail : l’arnaque continue

Les versions de Mimail se suivent et ne se ressemblent pas. Après celle qui dérobe les mots de passe, puis celle chargée d’attaquer des sites anti-spam, Mimail essaie désormais de piéger les utilisateurs du service de paiement Paypal. L’arnaque n’est pas très originale, mais plutôt efficace.


Vol, spam : au fil de ses différentes versions, le virus Mimail apparaît comme le parfait petit laboratoire du cyber-escroc. Les derniers opus en date essayaient déjà de voler les mots de passe de leur victime ou encore de mettre à genoux des sites de lutte anti-spam. Aujourd’hui, la version H (ou I, selon les éditeurs d’antivirus) s’attaque aux utilisateurs du service de paiement Paypal et tente de dérober leur numéro de carte bancaire. Mimail.H arrive dans un email rédigé en anglais, provenant d’une (fausse) adresse du site Paypal.com et intitulé « YOUR PAYPAL.COM ACCOUNT EXPIRES ».

Le texte du courrier indique que le compte associé à l’adresse email de la victime sera désactivé d’ici cinq jours si cette dernière ne met pas à jour ses informations bancaires, tout en s’excusant bien sûr pour ce « désagrément ».

L’idée est loin d’être originale : les pirates utilisent depuis longtemps la peur d’une interruption de service pour contraindre les utilisateurs naïfs à communiquer leurs informations confidentielles. Mais ce n’est pas là que Mimail.H se révèle malin, c’est dans sa pièce jointe.

Pour mettre son compte à jour, la victime est incitée à cliquer sur un lien appelé « www.paypal.com ». Toutefois, il ne s’agit pas d’un lien mais d’un programme exécutable nommé « www.paypal.com.scr ». L’utilisation de la double extension, cachée par défaut sous Windows, permet de maquiller le cheval de Troie : son nom apparaît comme un simple lien Internet. Et l’extension .scr (habituellement utilisée pour les économiseurs d’écran de Windows, mais pouvant être n’importe quel exécutable) permet de tromper un peu plus les internautes qui apercevraient le véritable nom du fichier. Et pour ceux qui auraient un doute malgré tout, le lien est présenté par le courrier comme une « application sécurisée ». On apprécie l’ironie.

Une fois exécuté, le programme affiche une interface plutôt bien faite, qui présente à la victime un formulaire de mise à jour de ses informations bancaires. Tout y passe (voir ci-dessous), y compris le code de vérification inscrit au dos de la carte.

Bien sûr, une fois validées, ces informations sont envoyées par email à l’une des quatre adresses de l’auteur du virus, qui peut alors les exploiter à sa guise. Mimail utilise pour cela sont propre serveur SMTP.

Pour ses propres besoins de propagation, Mimail capture aussi les adresses email trouvées sur le PC infecté et s’envoie sous la forme du même email que celui reçu initialement.

Enfin, pour les spécialistes, il est intéressant de noter que le processus du virus en mémoire se nomme « SVCHOST32.exe », de quoi être facilement confondu avec le SVCHOST.exe légitime de Windows. Là encore, Mimail tente de brouiller les pistes.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.