Nouvelle version de Citadel : contenu traduit, attaques contre Amazon

Les éditeurs de lien de Citadel (version Saas de ZeuS) sont vendus sur de nombreux forums clandestins. Pour cette raison, l’apparition d’une nouvelle version de ce cheval de Troie après la tentative de mise hors service de plus de 1 400 réseaux de zombies construits grâce à ce programme malveillant n’avait rien de surprenant pour Trusteer.

Ce programme malveillant détecté en juin attaque non seulement les banques et les institutions financières, mais également les réseaux sociaux et les services de commerce électronique comme Amazon. La nouvelle version de Citadel s’active sur la machine infectée lorsque la victime accède au site cible où à lieu une injection html. Par exemple, si l’utilisateur veut accéder à Amazon.com, une fausse page signale que son compte a été impliqué dans une activité suspecte qui a entraîné le blocage du compte. Globalement, la fausse page affichée dans le navigateur imite la page du contenu juridique relatif à l’inscription et propose un contenu traduit.

Ces nouvelles possibilités permettent à Citadel de modifier le contenu de la fausse page en fonction de la marque attaquée ou de l’emplacement géographique de l’ordinateur infecté. D’après les données de Trusteer, les injections HTML de la nouvelle version du cheval de Troie visent principalement les utilisateurs en Italie, en Espagne, en France, en Allemagne, en Grande-Bretagne, aux Etats-Unis et en Australie. Toutes ces astuces visent à atteindre un seul objectif : voler les informations d’identification et les données des comptes financiers saisies sur le formulaire en ligne.

L’organisation criminelle à l’origine de la nouvelle version de Citadel tente de ne pas trop attirer l’attention. Elle limite sa diffusion et il est probable qu’elle va vendre les données ainsi récoltées. Sur le marché noir, les identifiants localisés sont plus recherchés que les listes désordonnées de noms d’utilisateur et de mots de passe.

D’après Etay Mayor, le responsable des solutions anti-fraude de Trusteer, l’introduction de magasins en ligne dans la liste des cibles permet au cheval de Troie d’atteindre de nouveaux marchés et de nouvelles régions. D’après l’expert : « Les injections HTML sont l’œuvre d’un pro. Les textes ne contiennent aucune faute, tous les logos sont réalistes. Il est plus que probable que l’infection s’opère par téléchargement à la dérobée Ceci étant dit, si vous ouvrez une session sur Amazon et que vous voyez une image inconnue, il est préférable d’être prudent, même si le message menace de bloquer votre compte. »

Cette nouvelle découverte démontre clairement que les tentatives de mise hors service des réseaux de zombies, quelle que soit l’ampleur des efforts fournis, ne sont pas en mesure d’arrêter l’évolution de Citadel et d’autres programmes malveillants. « Plus de 1 000 réseaux de zombies construits à l’aide de Citadel ont été mis hors service, mais il faut bien comprendre que de telles opérations ne vont pas régler le problème, même s’il ne faut pas sous-estimer non plus leur impact. Des réseaux de zombies mis en place et exploités par des individus malintentionnés ont été démantelés. Toutefois, toute personne qui possède un éditeur de liens de Citadel peut créer une autre version du programme malveillant et le lancer. Citadel n’a pas été éliminé. Oui, l’économie de l’ombre a subi des pertes, mais elles peuvent être récupérées » explique Etay Mayor.

Source: http://www.trusteer.com/blog/going-global-new-citadel-trojan-automatically-localizes-fraud-content

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *