Un programme malveillant qui change de cible au vol

RSA a publié les résultats d’une nouvelle version d’un cheval de Troie bancaire appelé Citadel. Il se distingue par sa capacité à pouvoir se reconfigurer dynamiquement, ce qui permet aux opérateurs de modifier les paramètres d’injection Web en temps réel et de télécharger les modifications pour des bots ou des groupes de bots concrets sans devoir recourir à la procédure traditionnelle de mise à jour du fichier de configuration.

La modification de ZeuS baptisée Citadel, se présente sur le marché noir comme un produit SaaS avec un système d’accompagnement intégral. Le programme malveillant est très vite amélioré grâce à la participation de l’ensemble de la communauté Citadel. La version v1.3.5.1 Rain Edition, détectée par RSA, est déjà la 6e version dans le cadre ce projet d’externalisation ouverte lancé au début de cette année.

La technologie Dynamic Config, exploitée par la nouvelle version de Citadel, suppose la présence d’une instruction définie qui oblige le bot à contacter un serveur de commande toutes les 2 minutes et à solliciter un fichier de mise à jour personnalisé contenant une nouvelle sélection d’injections. Tout ce processus est géré par un mécanisme de diffusion particulier, un dispatcher qui décide qui va recevoir quelle injection. Un autre cheval de Troie bancaire, Neloweg, possède une caractéristique similaire : il modifie lui aussi au vol les pages en demandant les données au serveur. Toutefois, il n’utilise pas de fichier de configuration et la nouvelle version de Citadel, selon RSA,offre au responsable du bot les deux options qui peuvent être utilisée simultanément ou l’une après l’autre. Si le fichier de configuration standard du bot contient une version des injections plus récente que celles proposées sur le serveur, le bot utilise celle-ci, ce qui augmente l’efficacité des attaques contre les banques.

La version v1.3.5.1 Citadel permet également de limiter l’accès au panneau d’administration. Chaque administrateur peut avoir un maximum de 5 programmeurs et il peut leur envoyer un mot de passe pour une des sections du panneau d’administration. Les fournisseurs des injections peuvent créer et enregistrer leur oeuvre, être payé pour chaque sélection et travailler avec différents responsables de bots. Le gestionnaire du réseau de zombies contrôle l’ensemble du processus et applique les injections au fur et à mesure qu’elles apparaissent et les appliquent à certains ordinateurs infectés ou à l’ensemble de ceux-ci.

L’interface utilisateur du cheval de Troie a été simplifiée afin que les programmeurs inexpérimentés n’inondent pas le service d’assistance technique avec leurs questions. Dans le même esprit, la résolution des questions les plus techniques de plus en plus fréquentes avec l’expansion de la communauté Citadel est désormais confiée aux utilisateurs eux-mêmes invités à partager toutes ces informations via le système CRM ou dans des forums. Fidèle à sa promesse de limiter la vente libre de Citadel sur le marché noir, le service d’assistance technique rappelle aux clients qu’il se réserve le droit de refuser d’octroyer une licence, sans fournir d’explication. Cette politique permet aux auteurs du projet de le protéger contre les participants indésirables comme les chercheurs en virus ou des collaborateurs des forces de l’ordre. D’après les données de RSA, ce programme malveillant se propage activement sur les forums russophones clandestins. Sa version en anglais n’est pas encore apparue.

Source :
blogs.rsa.com

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *