Infos

Nouveau descendant de « ZeuS » doté d’un large éventail de cibles

D’après Kaspersky Lab, le banker modulaire détecté en automne est un développement de la branche ZeusVM qui emprunte certaines nouveautés introduites dans d’autres modifications de ZeuS. L’analyse a indiqué que ce nouveau rejeton du puissant "Zeus" est capable d’attaquer plus de 170 systèmes de banques électroniques répartis dans différents pays. Les solutions antivirus de Kaspersky Lab le détectent sous le nom Trojan-Banker.Win32.Chthonic.

"Le nouveau cheval de Troie Chthonic constitue une nouvelle étape dans l’évolution de ZeuS : il utilise le chiffrement ZeuS AES, une machine virtuelle identique à celle utilisée par ZeusVM et KINS et le chargeur Andromeda" peut on lire dans la synthèse des travaux des chercheurs.

Ce nouveau programme malveillant se propage via des messages non sollicités qui utilisent un code d’exploitation ou via téléchargement à l’aide du bot Andromeda (Backdoor.Win32.Androm). Les chercheurs ont notamment découvert des messages non sollicités en russe qui offraient des services de remboursement rapide d’acompte et qui contenaient un fichier RTF spécialement conçu pour exploiter la vulnérabilité CVE-2014-1761. Le fichier malveillant portait l’extension inoffensive .doc.

Les experts ont prêté une attention toute particulière au nouveau mode progressif de téléchargement des modules du malware. Tout d’abord, après le traitement du code d’exploitation ou le lancement de la fonction correspondante d’Andromeda, c’est le downloader qui est téléchargé. D’après les données obtenues par les experts de Kaspersky Lab, ce code ressemble au code source d’Andromeda. Ce téléchargeur contient le fichier de configuration chiffré à l’aide de la machine virtuelle, comme s’était déjà le cas dans ZeusVM et KINS. Une fois que le bot a envoyé au serveur de commande les données relatives au système infecté, le bot reçoit un téléchargeur étendu qui télécharge le module principal et ce dernier téléchargera ensuite les modules restants.

Sur la base de la liste des modules identifiés par les experts, le nouveaux malware est capable de voler les données de différentes manières et il est doté de fonctions complémentaires. Outre les injections Web, qui constituent l’outil principal de tout banker moderne, Chthonic possède un module capable de récupérer les données dans les formulaires en ligne (form grabber), un module de vol de mots de passe enregistrés, un enregistreur de frappes et un module pour réaliser des enregistrements à l’aide de la caméra vidéo. Le malware permet d’utiliser l’ordinateur infecté en tant que proxy SOCKS et garantit aux opérateurs une connexion VNC pour réaliser les transactions frauduleuses. Presque tous les modules cités ont été téléchargés en version 64 bits.

Les injections Web de Chthonic permettent non seulement d’ajouter des champs et des images sur les pages des banques attaquées, mais également de reproduire de fausses fenêtres, voire de substituer complètement le contenu de la page Web. Ainsi, le rapport de Kaspersky Lab signale que pour une des banques japonaises attaquées, le malware masque les avertissements légitimes et introduit un script qui permet aux individus malintentionnés de manipuler le compte de la victime. Dans le cadre d’une attaque contre une banque russe, le Trojan a suivi un autre scénario inhabituel : il a créé un iframe contenant la copie de phishing du site sur la totalité de la fenêtre.

Les experts de Kaspersky Lab ont identifié plusieurs réseaux de zombies construits à l’aide Chthonic. Ses cibles regroupent plus de 150 banques et 20 systèmes de paiement répartis entre 15 pays. Les individus malintentionnés s’intéressent plus particulièrement aux banques de Grande-Bretagne (43), d’Espagne (36), des Etats-Unis (35), de Russie (22), du Japon et d’Italie (18 et 13 respectivement). Les chercheurs n’ont pas manqué de signaler que de nombreuses injections Web de Chthonic sont déjà devenues inopérationnelles suite aux modifications introduites par les banques dans la structure des pages ou suite à un remplacement du domaine complet.

"Nous remarquons que le Trojan ZeuS ne cesse de se développer. Ses nouvelles versions intègrent les réalisations les plus récentes des auteurs de malwares. Cela s’explique en grande partie par la divulgation du code source de ZeuS. Il est devenu en quelque sorte pour les auteurs de malware une espèce de cadre accessible à toute personne qui le souhaite et qui peut être facilement adapté aux nouveaux besoins des individus malintentionnés. Tout ceci explique pourquoi nous allons encore découvrir de nouvelles versions de ZeuS ».

Cette prévision fut confirmée le jour même de la publication du rapport de Kaspersky Lab par la publication dans le blog PhishLabs d’un billet relatif à une nouvelle astuce d’ingénierie sociale adoptée par les diffuseurs de ZeuS. Un message fictif apparaît dans le navigateur de la victime potentielle. Selon ce message, un "lecteur actuel de documents en ligne" a été bloqué suite à une prétendue modification douteuse des paramètres de sécurité. Pour "restaurer la configuration et pouvoir à nouveau consulter des documents en ligne", l’utilisateur est invité à cliquer sur le bouton "Download and Install" (Télécharger et installer) qui figure dans le message. D’après les chercheurs, cette action redirige la victime vers un site d’où ZeuS sera téléchargé. La source des messages dans le navigateur n’a pas encore été identifiée, le malware a réussi à atteindre le panneau d’administration.

Source :        Securelist

Nouveau descendant de « ZeuS » doté d’un large éventail de cibles

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception