Nouveau descendant de « ZeuS » doté d’un large éventail de cibles

D’après Kaspersky Lab, le banker modulaire détecté en automne est un développement de la branche ZeusVM qui emprunte certaines nouveautés introduites dans d’autres modifications de ZeuS. L’analyse a indiqué que ce nouveau rejeton du puissant "Zeus" est capable d’attaquer plus de 170 systèmes de banques électroniques répartis dans différents pays. Les solutions antivirus de Kaspersky Lab le détectent sous le nom Trojan-Banker.Win32.Chthonic.

"Le nouveau cheval de Troie Chthonic constitue une nouvelle étape dans l’évolution de ZeuS : il utilise le chiffrement ZeuS AES, une machine virtuelle identique à celle utilisée par ZeusVM et KINS et le chargeur Andromeda" peut on lire dans la synthèse des travaux des chercheurs.

Ce nouveau programme malveillant se propage via des messages non sollicités qui utilisent un code d’exploitation ou via téléchargement à l’aide du bot Andromeda (Backdoor.Win32.Androm). Les chercheurs ont notamment découvert des messages non sollicités en russe qui offraient des services de remboursement rapide d’acompte et qui contenaient un fichier RTF spécialement conçu pour exploiter la vulnérabilité CVE-2014-1761. Le fichier malveillant portait l’extension inoffensive .doc.

Les experts ont prêté une attention toute particulière au nouveau mode progressif de téléchargement des modules du malware. Tout d’abord, après le traitement du code d’exploitation ou le lancement de la fonction correspondante d’Andromeda, c’est le downloader qui est téléchargé. D’après les données obtenues par les experts de Kaspersky Lab, ce code ressemble au code source d’Andromeda. Ce téléchargeur contient le fichier de configuration chiffré à l’aide de la machine virtuelle, comme s’était déjà le cas dans ZeusVM et KINS. Une fois que le bot a envoyé au serveur de commande les données relatives au système infecté, le bot reçoit un téléchargeur étendu qui télécharge le module principal et ce dernier téléchargera ensuite les modules restants.

Sur la base de la liste des modules identifiés par les experts, le nouveaux malware est capable de voler les données de différentes manières et il est doté de fonctions complémentaires. Outre les injections Web, qui constituent l’outil principal de tout banker moderne, Chthonic possède un module capable de récupérer les données dans les formulaires en ligne (form grabber), un module de vol de mots de passe enregistrés, un enregistreur de frappes et un module pour réaliser des enregistrements à l’aide de la caméra vidéo. Le malware permet d’utiliser l’ordinateur infecté en tant que proxy SOCKS et garantit aux opérateurs une connexion VNC pour réaliser les transactions frauduleuses. Presque tous les modules cités ont été téléchargés en version 64 bits.

Les injections Web de Chthonic permettent non seulement d’ajouter des champs et des images sur les pages des banques attaquées, mais également de reproduire de fausses fenêtres, voire de substituer complètement le contenu de la page Web. Ainsi, le rapport de Kaspersky Lab signale que pour une des banques japonaises attaquées, le malware masque les avertissements légitimes et introduit un script qui permet aux individus malintentionnés de manipuler le compte de la victime. Dans le cadre d’une attaque contre une banque russe, le Trojan a suivi un autre scénario inhabituel : il a créé un iframe contenant la copie de phishing du site sur la totalité de la fenêtre.

Les experts de Kaspersky Lab ont identifié plusieurs réseaux de zombies construits à l’aide Chthonic. Ses cibles regroupent plus de 150 banques et 20 systèmes de paiement répartis entre 15 pays. Les individus malintentionnés s’intéressent plus particulièrement aux banques de Grande-Bretagne (43), d’Espagne (36), des Etats-Unis (35), de Russie (22), du Japon et d’Italie (18 et 13 respectivement). Les chercheurs n’ont pas manqué de signaler que de nombreuses injections Web de Chthonic sont déjà devenues inopérationnelles suite aux modifications introduites par les banques dans la structure des pages ou suite à un remplacement du domaine complet.

"Nous remarquons que le Trojan ZeuS ne cesse de se développer. Ses nouvelles versions intègrent les réalisations les plus récentes des auteurs de malwares. Cela s’explique en grande partie par la divulgation du code source de ZeuS. Il est devenu en quelque sorte pour les auteurs de malware une espèce de cadre accessible à toute personne qui le souhaite et qui peut être facilement adapté aux nouveaux besoins des individus malintentionnés. Tout ceci explique pourquoi nous allons encore découvrir de nouvelles versions de ZeuS ».

Cette prévision fut confirmée le jour même de la publication du rapport de Kaspersky Lab par la publication dans le blog PhishLabs d’un billet relatif à une nouvelle astuce d’ingénierie sociale adoptée par les diffuseurs de ZeuS. Un message fictif apparaît dans le navigateur de la victime potentielle. Selon ce message, un "lecteur actuel de documents en ligne" a été bloqué suite à une prétendue modification douteuse des paramètres de sécurité. Pour "restaurer la configuration et pouvoir à nouveau consulter des documents en ligne", l’utilisateur est invité à cliquer sur le bouton "Download and Install" (Télécharger et installer) qui figure dans le message. D’après les chercheurs, cette action redirige la victime vers un site d’où ZeuS sera téléchargé. La source des messages dans le navigateur n’a pas encore été identifiée, le malware a réussi à atteindre le panneau d’administration.

Source :        Securelist

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *