Infos

Un programme malveillant qui change de cible au vol

RSA a publié les résultats d’une nouvelle version d’un cheval de Troie bancaire appelé Citadel. Il se distingue par sa capacité à pouvoir se reconfigurer dynamiquement, ce qui permet aux opérateurs de modifier les paramètres d’injection Web en temps réel et de télécharger les modifications pour des bots ou des groupes de bots concrets sans devoir recourir à la procédure traditionnelle de mise à jour du fichier de configuration.

La modification de ZeuS baptisée Citadel, se présente sur le marché noir comme un produit SaaS avec un système d’accompagnement intégral. Le programme malveillant est très vite amélioré grâce à la participation de l’ensemble de la communauté Citadel. La version v1.3.5.1 Rain Edition, détectée par RSA, est déjà la 6e version dans le cadre ce projet d’externalisation ouverte lancé au début de cette année.

La technologie Dynamic Config, exploitée par la nouvelle version de Citadel, suppose la présence d’une instruction définie qui oblige le bot à contacter un serveur de commande toutes les 2 minutes et à solliciter un fichier de mise à jour personnalisé contenant une nouvelle sélection d’injections. Tout ce processus est géré par un mécanisme de diffusion particulier, un dispatcher qui décide qui va recevoir quelle injection. Un autre cheval de Troie bancaire, Neloweg, possède une caractéristique similaire : il modifie lui aussi au vol les pages en demandant les données au serveur. Toutefois, il n’utilise pas de fichier de configuration et la nouvelle version de Citadel, selon RSA,offre au responsable du bot les deux options qui peuvent être utilisée simultanément ou l’une après l’autre. Si le fichier de configuration standard du bot contient une version des injections plus récente que celles proposées sur le serveur, le bot utilise celle-ci, ce qui augmente l’efficacité des attaques contre les banques.

La version v1.3.5.1 Citadel permet également de limiter l’accès au panneau d’administration. Chaque administrateur peut avoir un maximum de 5 programmeurs et il peut leur envoyer un mot de passe pour une des sections du panneau d’administration. Les fournisseurs des injections peuvent créer et enregistrer leur oeuvre, être payé pour chaque sélection et travailler avec différents responsables de bots. Le gestionnaire du réseau de zombies contrôle l’ensemble du processus et applique les injections au fur et à mesure qu’elles apparaissent et les appliquent à certains ordinateurs infectés ou à l’ensemble de ceux-ci.

L’interface utilisateur du cheval de Troie a été simplifiée afin que les programmeurs inexpérimentés n’inondent pas le service d’assistance technique avec leurs questions. Dans le même esprit, la résolution des questions les plus techniques de plus en plus fréquentes avec l’expansion de la communauté Citadel est désormais confiée aux utilisateurs eux-mêmes invités à partager toutes ces informations via le système CRM ou dans des forums. Fidèle à sa promesse de limiter la vente libre de Citadel sur le marché noir, le service d’assistance technique rappelle aux clients qu’il se réserve le droit de refuser d’octroyer une licence, sans fournir d’explication. Cette politique permet aux auteurs du projet de le protéger contre les participants indésirables comme les chercheurs en virus ou des collaborateurs des forces de l’ordre. D’après les données de RSA, ce programme malveillant se propage activement sur les forums russophones clandestins. Sa version en anglais n’est pas encore apparue.

Source :
blogs.rsa.com

Un programme malveillant qui change de cible au vol

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception