Codes source de KINS/ZeusVM v2 disponibles sur Internet

Les membres de la communauté Malware Must Die (MMD), dédiée à la sécurité de l’information, nous mettent en garde contre la fuite du code binaire du builder d’une version de ZeuS, connue sous le nom de ZeusVM (version 2) et du code source de son panneau d’administration. Désormais, le premier internaute venu peut utiliser ce toolkit pour créer la version binaire de Zeus VM 2.0.0.0 et la charger sur un réseau de zombies via le panneau d’administration. Il faut s’attendre prochainement à l’apparition de la version 3 de ce malware de type banker dont la promotion, prix inclus, est déjà assurée sur un forum de hackers.

La fuite a été découverte par un activiste de MMD portant le pseudo Xylit01 et qui a partagé l’information avec ses collègues le 26 juin. Actuellement, Xylit0l teste le code accessible au public, partage les résultats de ses analyses avec les personnes intéressées et cherche à éliminer le point de diffusion du toolkit de ZeusVM 2.0.0.0.

Les membres de MMD signalent que bien que l’auteur de ce banker a baptisé sa création KINS 2.0.0.0, son panneau d’administration est identique à celui utilisé par la version traditionnelle de ZeuS. De plus, la configuration du builder et le fichier binaire généré évoquent des liens clairs avec Zeus VM et sont totalement différents de ceux utilisés par les versions antérieures de KINS. Comme le montre l’analyse, le code utilise le principe de la stéganographie qui consiste à masquer les données de configuration dans un fichier au format JPG. Sur la base de ces observations, les activistes sont enclins à identifier leur trouvaille comme ZeusVM 2.0.0.0.

Les injections Web du banker testées par Xyli01 ont fonctionné dans Firefox et dans Internet Explorer.

MMD sollicite l’aide de la communauté Internet pour bloquer les sites d’où ZeusVM 2.0.0.0. est téléchargé. Les activistes proposent également l’archive malveillante aux personnes qui souhaitent l’étudier et renforcer les défenses. Les éditeurs de logiciels de protection, les CERT des différents pays et les autorités judiciaires et policières peuvent envoyer leur demande à MMD, à VirusTotal ou à toute autre source de confiance.

Source: Malware must die

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *