Aladdin Knowledge Systems Ltd, leader mondial des solutions de gestion des droits numériques logiciels (DRM) et d'authentification USB et précurseur des outils de sécurisation des contenus Internet, annonce que son laboratoire CSRT a identifé une nouvelle variante du troyen Feebs qui inclut une dangereuse tentative de fraude. Aladdin nomme cette nouvelle variante JS.Feebs.

Une fois activé, JS Feebs ouvre une fausse fenêtre à l'écran, ressemblant aux sites de moteur de recherche connus. Apparaît ensuite un faux message d'erreur indiquant un problème de connection. Le script exécute ces opérations pour masquer ses propres activités, à savoir désactiver l'antivirus et les autres solutions de sécurité installées sur la machine afin de pouvoir exécuter d'autres codes malicieux. JS.Feebs se propage généralement par email, mais peut aussi être présent sur certains sites web qui infectent alors les machines des internautes lors de l'accès au site web.

JS.Feebs met également en place une tentative de fraude, proche du phishing. A la différence des attaques de phishing classiques, il n'y a pas d'email ou de lien sur lequel cliquer. A la place, certains paramètres réseaux de la machine infectée sont modifiés. De ce fait, lorsque l'utilisateur se rend sur des sites web comme celui d'eBay, quel que soit le navigateur utilisé, ou s'il clique sur un lien renvoyant vers le site d'eBay, ou même s'il y accède par les favoris de son navigateur, l'internaute sera renvoyé vers un faux site imitant celui d'eBay. Pendant tout ce temps, l'adresse URL du site d'eBay apparaît normalement. Tout ceci arrive même si la personne se rend sur le site plusieurs jours ou plusieurs semaines après avoir été infecté. Même si la propagation de cette nouvelle variante est lente, son impact est important puisqu'il vole des informations personnelles concernant les sites web régulièrement utilisés.

Le script modifie les fichiers HOSTS trouvés sur le PC infecté. Ce fichier, une fois modifié, peut passer outre les serveurs DNS utilisés par défaut, permettant ainsi au navigateur web de recevoir une adresse et de se rendre sur une autre. JS.Feebs, dans ce cas, redirige toutes les demandes d'accès au site d'eBay vers son propre site, qui est une copie à l'identique.
Lorsque l'utilisateur tente de cliquer sur un lien ou de lancer une recherche, le script lui demande son identifiant et son mot de passe.

Lorsque les informations sont entrées, l'utilisateur est alors redirigé
vers le vrai site d'eBay, sans qu'il sache que les informations
personnelles qu'il a fournies ont en fait été volées. Avec ces
informations, un pirate peut se procurer des biens gratuitement et laisser l'utilisateur infecté payer à sa place.