Infos

Shylock : le retour. Deux douzaines de banques ciblées.

Le programme malveillant financier Shylock, connu également sous le nom de Caphaw, fait parler de lui depuis 2011 mais ces derniers temps, les experts ont remarqué une hausse sensible du nombre d’infections dans lesquelles il est impliqué. Il est particulièrement actif en Grande-Bretagne, en Italie, au Danemark et en Turquie. D’après les données de Zscaler, Shylock s’intéresse aux comptes des clients de 24 banques aux Etats-Unis et en Europe.  

Shylock est doté d’un imposant arsenal qui lui permet de dissimuler ses traces. Afin de dissimuler l’emplacement réel du centre de commande, le programme malveillant active un algorithme intégré de génération de noms de domaine (DGA). Tous les échanges avec l’infrastructure de commande sont réalisés avec des certificats SSL autosignés. Zscaler explique : "Le nombre élevé de points de rendez-vous potentiels portant des noms aléatoires complique énormément la tâche des chercheurs et des autorités judiciaires et policières qui cherchent à mettre l’infrastructure de commande hors service. De plus, le recours au chiffrement complique davantage le processus d’identification et de blocage des ressources impliquées dans le centre de commande".

Ce n’est pas la première fois que des algorithmes DGA sont utilisés par des programmes malveillants pour masquer les centres de commande. Des familles telles que Pushdo, Zeus et TDL/TDSS utilisent cette technique également. L’algorithme DGA crée des noms de domaine selon un intervalle régulier et vérifie leur fonctionnement. Grâce à l’algorithme DGA, le programme malveillant peut déjouer les filtres statistiques sur la réputation qui reposent sur les listes noires. De plus, l’utilisation de l’algorithme DGA permet au responsable du programme malveillant de réduire considérablement le nombre de serveurs de commande qui pourraient être bloqués d’un coup. 

Pour en revenir à Shylock, il convient de signaler que ses auteurs ne cessent de perfectionner leur création et ajoutent des fonctions qui permettent de déjouer les logiciels et les services de protection ou qui compliquent l’analyse du code. Ce programme malveillant peut détecter un lancement sur une machine virtuelle et l’existence d’une connexion Internet. Il est capable d’utiliser la fonction de lancement standard de Windows et de contrôler les processus système en vue de conforter sa position sur la machine infectée. Shylock possède un plug-in pour la diffusion automatique via Skype et il utilise les injections Web pour pouvoir remplacer la page d’accueil d’une banque en particulier au vol. Les dernières modifications du programme malveillant sollicite le Javascript du service légitime MaxMin GeoIp afin de déterminer l’emplacement géographique des victimes. Selon les recommandations des experts, "les administrateurs doivent utiliser des transactions telles que le point de départ lors de l’analyse de toute activité suspecte. Le service en lui-même n’est pas dangereux mais son utilisation dans ce contexte démontre clairement que les auteurs de virus peuvent utiliser des services légitimes".

Dans le cadre de l’analyse, Zscaler n’a pas été en mesure de définir le mode d’infection initial de la nouvelle version de Shylock. Des experts avancent l’hypothèse d’une propagation via des codes d’exploitation d’une vulnérabilité dans Java. En cas de réussite de l’attaque, un fichier exécutable dont l’aspect change légèrement à chaque cycle d’infection est téléchargé sur l’ordinateur de la victime. Les chercheurs de Damballa ont confirmé cette hypothèse : dans la majorité des cas qu’ils ont observé, Shylock se propageait via un téléchargement à la dérobée impliquant un kit d’exploitation. Damballa a même réussi à calculer le coefficient de réussite de ces attaques : moins de 20 %

A l’heure actuelle, Zscaler a identifié 64 nouvelles versions de Shylock et 469 adresses IP qui sollicitent des domaines obtenus via DGA. L’analyse a permis également de dresser la liste des cibles du programme malveillant :

  • Bank of Scotland
  • Barclays Bank
  • First Direct
  • Santander Direkt Bank AG
  • First Citizens Bank
  • Bank of America
  • Bank of the West
  • Sovereign Bank
  • Co-operative Bank
  • Capital One Financial Corporation
  • Chase Manhattan Corporation
  • Citi Private Bank
  • Comerica Bank
  • E*Trade Financial
  • Harris Bank
  • Intesa Sanpaolo
  • Regions Bank
  • SunTrust
  • Bank of Ireland Group Treasury
  • U.S. Bancorp
  • Banco Mercantil, S.A.
  • Varazdinska Banka
  • Wintrust Financial Corporation
  • Wells Fargo Bank

Source : http://news.softpedia.com/news/Shylock-Trojan-Used-to-Target-Customers-of-24-Major-Banks-384280.shtml

Shylock : le retour. Deux douzaines de banques ciblées.

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception