Des experts de Trusteer, société spécialisée dans les questions de sécurité IT, ont répéré sur le marché illégal une annonce proposant un Cheval de Troie ciblant les terminaux de réception d'hôtel. Celui-ci est spécialement élaboré pour infecter ces applications PoS (point-of-sale), afin de voler les données de facturation et de cartes de crédit des clients. Pour 280 dollars, le vendeur propose son RAT (remote access tool), outil de contrôle d'ordinateur à distance, avec les instructions détaillant la procédure pour tromper les gestionnaires d'hôtel et les amener à installer le Trojan sur leurs ordinateurs, expliquent les chercheurs dans un billet de blog.

Le vendeur affirme également que le malware est indectable par les programmes antivirus quand il est envoyé à l'acheteur. « Les auteurs de programmes malveillants reconditionnent souvent leurs installateurs avec de nouveaux algorithmes afin de les soustraire à la base de signatures qui sert aux logiciels antivirus », confirme Bogdan Botezatu, analyste senior spécialisé dans les attaques informatiques chez le vendeur de solutions de sécurité BitDefender. Les échantillons reconditionnés peuvent ensuite être livrés par courriel ou par messagerie instantanée sans risquer d'être arrêtés au niveau du réseau. « Cependant, si le système ciblé est équipé d'un produit antivirus qui dispose de fortes capacités heuristiques et de détection de comportement, le malware peut être bloqué au moment de l'exécution », explique l'analyste.

Le RAT ne récupère pas les CVV et CID

Le vendeur de ce RAT précise dans son annonce que le malware ne récupère pas les numéros de sécurité des cartes, aussi dénommés CVV (card validation code) ou CID (card identification number). Mais cela ne veut pas dire pour autant que l'information volée est moins utile pour les cybercriminels. « Certains commerçants sont autorisés à débiter les cartes de crédit sans ces informations CVV, aux Etats-Unis notamment », précise Bogdan Botezatu. « Cependant, même si ce n'était pas le cas, les données peuvent encore être utilisées pour essayer de récupérer ensuite  les codes de sécurité auprès des détenteurs de cartes eux-mêmes dans des opérations de phishing ou en recherchant les codes dans des résidus de données récupérés dans des attaques de phishing précédentes ».

La plupart des chevaux de Troie capables de prendre le contrôle d'un ordinateur à distance peuvent réaliser des captures d'écran, enregistrer des frappes au clavier, télécharger/uploader des fichiers et exécuter du code arbitraire, ce qui laisse un champ assez ouvert pour commettre de nombreuses actions criminelles. Dans l'annonce qui vante le Trojan, on trouve des copies d'écran d'une application PoS particulière, mais son utilisation pourrait ne pas se limiter à ce type de programme spécifique. « La force des RAT, c'est leur caractère générique, c'est à dire qu'ils peuvent servir à attaquer un tas d'applications différentes utilisées dans de nombreuses industries », a déclaré Amit Klein, CTO de Trusteer. « Nous avons des exemples de Chevaux de Troie de ce type utilisés contre des applications internes, des applications bancaires, dans les industries de la défense, etc... », a t-il déclaré.

Des ordinateurs qui se présentent comme de mini-référentiels

« Typiquement, le personnel informatique des hôtels est limité en nombre et ses connaissances des logiciels malveillants sont aussi limitées. Par contre, il manipule chaque jour un grand nombre de cartes de crédit, ce qui en fait une cible de choix », a déclaré Yaron Dycian, vice-président des produits chez Trusteer. Le fait que l'auteur du RAT ait décidé de cibler le secteur de l'hôtellerie va aussi dans le sens d'une tendance récemment observée chez les cybercriminels : l'augmentation des attaques contre les sites bancaires en ligne et les progiciels de gestion de point de vente (PDV).

« La principale raison de ce changement ou de cette diversification, vient du fait que les machines PoS et certaines ordinateurs de gestion sont utilisés comme des mini référentiels, c'est à dire qu'ils permettent de récupérer beaucoup d'informations sur de nombreuses victimes à la fois », a expliqué Amit Klein. « A la différence des ordinateurs grand public qui exposent typiquement un ou deux comptes. »