Infos

Nouvelle version de Citadel : contenu traduit, attaques contre Amazon

Les éditeurs de lien de Citadel (version Saas de ZeuS) sont vendus sur de nombreux forums clandestins. Pour cette raison, l’apparition d’une nouvelle version de ce cheval de Troie après la tentative de mise hors service de plus de 1 400 réseaux de zombies construits grâce à ce programme malveillant n’avait rien de surprenant pour Trusteer.

Ce programme malveillant détecté en juin attaque non seulement les banques et les institutions financières, mais également les réseaux sociaux et les services de commerce électronique comme Amazon. La nouvelle version de Citadel s’active sur la machine infectée lorsque la victime accède au site cible où à lieu une injection html. Par exemple, si l’utilisateur veut accéder à Amazon.com, une fausse page signale que son compte a été impliqué dans une activité suspecte qui a entraîné le blocage du compte. Globalement, la fausse page affichée dans le navigateur imite la page du contenu juridique relatif à l’inscription et propose un contenu traduit.

Ces nouvelles possibilités permettent à Citadel de modifier le contenu de la fausse page en fonction de la marque attaquée ou de l’emplacement géographique de l’ordinateur infecté. D’après les données de Trusteer, les injections HTML de la nouvelle version du cheval de Troie visent principalement les utilisateurs en Italie, en Espagne, en France, en Allemagne, en Grande-Bretagne, aux Etats-Unis et en Australie. Toutes ces astuces visent à atteindre un seul objectif : voler les informations d’identification et les données des comptes financiers saisies sur le formulaire en ligne.

L’organisation criminelle à l’origine de la nouvelle version de Citadel tente de ne pas trop attirer l’attention. Elle limite sa diffusion et il est probable qu’elle va vendre les données ainsi récoltées. Sur le marché noir, les identifiants localisés sont plus recherchés que les listes désordonnées de noms d’utilisateur et de mots de passe.

D’après Etay Mayor, le responsable des solutions anti-fraude de Trusteer, l’introduction de magasins en ligne dans la liste des cibles permet au cheval de Troie d’atteindre de nouveaux marchés et de nouvelles régions. D’après l’expert : « Les injections HTML sont l’œuvre d’un pro. Les textes ne contiennent aucune faute, tous les logos sont réalistes. Il est plus que probable que l’infection s’opère par téléchargement à la dérobée Ceci étant dit, si vous ouvrez une session sur Amazon et que vous voyez une image inconnue, il est préférable d’être prudent, même si le message menace de bloquer votre compte. »

Cette nouvelle découverte démontre clairement que les tentatives de mise hors service des réseaux de zombies, quelle que soit l’ampleur des efforts fournis, ne sont pas en mesure d’arrêter l’évolution de Citadel et d’autres programmes malveillants. « Plus de 1 000 réseaux de zombies construits à l’aide de Citadel ont été mis hors service, mais il faut bien comprendre que de telles opérations ne vont pas régler le problème, même s’il ne faut pas sous-estimer non plus leur impact. Des réseaux de zombies mis en place et exploités par des individus malintentionnés ont été démantelés. Toutefois, toute personne qui possède un éditeur de liens de Citadel peut créer une autre version du programme malveillant et le lancer. Citadel n’a pas été éliminé. Oui, l’économie de l’ombre a subi des pertes, mais elles peuvent être récupérées » explique Etay Mayor.

Source: http://www.trusteer.com/blog/going-global-new-citadel-trojan-automatically-localizes-fraud-content

Nouvelle version de Citadel : contenu traduit, attaques contre Amazon

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception