Cheval de Troie nommé en pièce jointe

Dans le cadre d’une étude de messages malveillants envoyés à des détenteurs de comptes en banque, les experts de Websense ont découvert une nouvelle particularité : les individus malintentionnés ont commencé à diffuser des pièces jointes personnalisées. Le nom qui figure dans le nom de la pièce jointe correspond à celui qui figure dans le champ A : le nom du destinataire, ce qui, d’après les experts, indique l’utilisation d’un générateur automatique.

Une de ces diffusions de messages prétendait provenir de la grande banque Wells Fargo. Les messages malveillants étaient très laconiques et invitaient simplement le destinataire à ouvrir la pièce jointe zip nommée afin de prendre connaissance de « documents importants ». Au cours de cette campagne, les solutions de protection de Websense ont bloqué plus de 80 000 messages de ce genre.

La charge utile archivée se trouvait dans un fichier avec deux extensions, une pratique répandue chez les diffuseurs de programmes malveillants. Si l’option "Masquer les extensions des fichiers dont le type est connu" était activée, ce fichier exécutable ressemblait à un document PDF traditionnel et il affichait même l’icône de ce type de fichier. Le contenu du fichier malveillant a été identifié en tant que downloader Pony, un programme spécialisé qui intervient généralement dans le téléchargement du célèbre programme malveillant ZeuS. Dans le cas qui nous occupe, il téléchargeait, d’après Websense, une modification P2P de ce cheval de Troie sur l’ordinateur infecté. Afin de dissimuler le trafic qu’il générait, Pony envoyait également des requêtes à des sites Web légitimes. Les enquêteurs signalent que bon nombre des ressources inactives qui étaient sollicitées ont déjà été désactivées.

La deuxième vague de diffusions dangereuses enregistrée au milieu du mois de juin visaient les utilisateurs de canaux chiffrés. Des messages malveillants envoyés au nom d’un service baptisé Secure E-mail Message Center, signalaient au destinataire qu’il avait reçu un message confidentiel. Pour le lire, il fallait ouvrir le fichier zip en pièce jointe (portant le nom du destinataire). Ce fichier, pour donner l’illusion d’authenticité, était protégé par un mot de passe. Le mot de passe d’accès à l’archive figurait dans le corps du message non sollicité. Les individus malintentionnés pensaient ainsi pouvoir déjouer les filtres antispam. Le cheval de Troie était ici aussi masqué par une icône Adobe Reader, pour semer la confusion, et il portait deux extensions.

Websense a détecté une troisième version de cette technique des pièces jointes personnalisées dans une diffusion de messages non sollicités citant Trusteer, un éditeur de solutions de protection pour services bancaires. Ces messages malveillants proposaient d’installer une nouvelle version de Rapport, un produit de Trusteer qui neutralise les programmes malveillants bancaires et qui intercepte les transactions non autorisées. Websense a bloqué plus de 36 000 dans le cadre de cette diffusion.

L’archivez zip jointe aux messages malveillantes était nommée elle aussi et contenait un cheval de Troie détecté par Kaspersky Lab sous le nom de Trojan-PSW.Win32.Tepfer.odtu.

Custom Attachment Names and Passwords for Trojans

http://community.websense.com/blogs/securitylabs/archive/2013/07/18/Custom-Attachment-Names-and-Passwords-for-Trojans.aspx

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *