Shylock : le retour. Deux douzaines de banques ciblées.

Le programme malveillant financier Shylock, connu également sous le nom de Caphaw, fait parler de lui depuis 2011 mais ces derniers temps, les experts ont remarqué une hausse sensible du nombre d’infections dans lesquelles il est impliqué. Il est particulièrement actif en Grande-Bretagne, en Italie, au Danemark et en Turquie. D’après les données de Zscaler, Shylock s’intéresse aux comptes des clients de 24 banques aux Etats-Unis et en Europe.  

Shylock est doté d’un imposant arsenal qui lui permet de dissimuler ses traces. Afin de dissimuler l’emplacement réel du centre de commande, le programme malveillant active un algorithme intégré de génération de noms de domaine (DGA). Tous les échanges avec l’infrastructure de commande sont réalisés avec des certificats SSL autosignés. Zscaler explique : "Le nombre élevé de points de rendez-vous potentiels portant des noms aléatoires complique énormément la tâche des chercheurs et des autorités judiciaires et policières qui cherchent à mettre l’infrastructure de commande hors service. De plus, le recours au chiffrement complique davantage le processus d’identification et de blocage des ressources impliquées dans le centre de commande".

Ce n’est pas la première fois que des algorithmes DGA sont utilisés par des programmes malveillants pour masquer les centres de commande. Des familles telles que Pushdo, Zeus et TDL/TDSS utilisent cette technique également. L’algorithme DGA crée des noms de domaine selon un intervalle régulier et vérifie leur fonctionnement. Grâce à l’algorithme DGA, le programme malveillant peut déjouer les filtres statistiques sur la réputation qui reposent sur les listes noires. De plus, l’utilisation de l’algorithme DGA permet au responsable du programme malveillant de réduire considérablement le nombre de serveurs de commande qui pourraient être bloqués d’un coup. 

Pour en revenir à Shylock, il convient de signaler que ses auteurs ne cessent de perfectionner leur création et ajoutent des fonctions qui permettent de déjouer les logiciels et les services de protection ou qui compliquent l’analyse du code. Ce programme malveillant peut détecter un lancement sur une machine virtuelle et l’existence d’une connexion Internet. Il est capable d’utiliser la fonction de lancement standard de Windows et de contrôler les processus système en vue de conforter sa position sur la machine infectée. Shylock possède un plug-in pour la diffusion automatique via Skype et il utilise les injections Web pour pouvoir remplacer la page d’accueil d’une banque en particulier au vol. Les dernières modifications du programme malveillant sollicite le Javascript du service légitime MaxMin GeoIp afin de déterminer l’emplacement géographique des victimes. Selon les recommandations des experts, "les administrateurs doivent utiliser des transactions telles que le point de départ lors de l’analyse de toute activité suspecte. Le service en lui-même n’est pas dangereux mais son utilisation dans ce contexte démontre clairement que les auteurs de virus peuvent utiliser des services légitimes".

Dans le cadre de l’analyse, Zscaler n’a pas été en mesure de définir le mode d’infection initial de la nouvelle version de Shylock. Des experts avancent l’hypothèse d’une propagation via des codes d’exploitation d’une vulnérabilité dans Java. En cas de réussite de l’attaque, un fichier exécutable dont l’aspect change légèrement à chaque cycle d’infection est téléchargé sur l’ordinateur de la victime. Les chercheurs de Damballa ont confirmé cette hypothèse : dans la majorité des cas qu’ils ont observé, Shylock se propageait via un téléchargement à la dérobée impliquant un kit d’exploitation. Damballa a même réussi à calculer le coefficient de réussite de ces attaques : moins de 20 %

A l’heure actuelle, Zscaler a identifié 64 nouvelles versions de Shylock et 469 adresses IP qui sollicitent des domaines obtenus via DGA. L’analyse a permis également de dresser la liste des cibles du programme malveillant :

  • Bank of Scotland
  • Barclays Bank
  • First Direct
  • Santander Direkt Bank AG
  • First Citizens Bank
  • Bank of America
  • Bank of the West
  • Sovereign Bank
  • Co-operative Bank
  • Capital One Financial Corporation
  • Chase Manhattan Corporation
  • Citi Private Bank
  • Comerica Bank
  • E*Trade Financial
  • Harris Bank
  • Intesa Sanpaolo
  • Regions Bank
  • SunTrust
  • Bank of Ireland Group Treasury
  • U.S. Bancorp
  • Banco Mercantil, S.A.
  • Varazdinska Banka
  • Wintrust Financial Corporation
  • Wells Fargo Bank

Source : http://news.softpedia.com/news/Shylock-Trojan-Used-to-Target-Customers-of-24-Major-Banks-384280.shtml

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *