De nouvelles injections Web élargissent le champ de vision de ZeuS

Le cheval de Troie bancaire ZeuS n’est plus tout jeune, mais il n’a rien perdu de sa vitalité. D’après les données de la société CSIS Security, la version P2P de ce cheval de Troie baptisée Gameover a été particulièrement active au premier trimestre Des infections ont été observées dans 10 pays qui avaient été épargnés jusqu’à présent.

Le fait est que Gameover, comme on pu l’établir les experts, a acquis des injections Web complémentaires qui lui ont permis en trois mois de porter le nombre de marques attaquées à 1 515, alors que ce chiffre était inférieur à 1 000 au début de l’année. D’après Peter Kruse, chef du service de CSISI chargé de l’analyse de la criminalité de haute technologie, la majorité des nouvelles cibles de Gameover est composée de banque et autres institutions financières établies en Afrique, au Moyen-Orient, en Asie, en Australie et en Europe.

Peter Kruse a également signalé que les vendeurs de ZeuS perfectionnent les injections Web existantes afin de pouvoir réaliser les mises à jour sur les ordinateurs infectés au vol. Grâce à ces modules complémentaires axés sur des cibles concrètes, le cheval de Troie bancaire vole les données de l’utilisateur en substituant la page cible dans le navigateur (réalisation d’une injection). Ce programme malveillant est généralement diffusé via courrier électronique ou dans le cadre d’attaques par téléchargement à la dérobée. « La majorité des campagnes de courrier indésirable les plus récentes exploitent de manière illicite des marques qui sont très connues et respectables dans de nombreux pays. C’est la raison pour laquelle les utilisateurs cliquent sur le lien en confiance et activent le code malveillant » explique l’expert.

Pour diffuser ZeuS par courrier électronique, les individus malintentionnés utilisent souvent le téléchargeur Upatre dont l’activité a sensiblement augmenté au mois de novembre dernier d’après Microsoft. Cette année, Upatre a appris à livrer ZeuS sous la forme de fichiers enc inoffensifs afin d’empêcher les téléchargements malveillants. Il y a un mois, des chercheurs de chez Comodo ont détecté une nouvelle version de ZeuS signée par un certificat actif de l’éditeur de logiciel suisse Isonet AG. Cette version se dissimule sous les traits d’un document Internet Explorer et après l’activation, il tente de télécharger des composants rootkit.

Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *