Une version 64 de ZeuS court dans la nature

Le tristement célèbre programme malveillant bancaire ZeuS a commencé à attaquer les systèmes 64 bits. Pourquoi ? Les chercheurs de Kaspersky Lab ont identifié une nouvelle version de ce programme malveillant qui se comporte pratiquement de la même manière que son homologue de 32 bits. Elle utilise les injections Internet pour voler les informations d’identification bancaire et retirer de l’argent des comptes, elle vole des certificats numériques et elle est capable d’enregistrer les frappes au clavier. Toutefois, cette découverte des experts de Kaspersky Lab possède une autre caractéristique : cette version de ZeuS fonctionne via le réseau anonyme Tor.

Ce repositionnement de ZeuS sur des cibles 64 bits soulève des interrogations. D’après Dimitri Tarakanov, expert chez Kaspersky Lab, ce programme malveillant sert principalement à intercepter et à substituer des informations dans les navigateurs, toutefois la version 64 bits d’Internet Explorer n’est utilisée que par 0,01 % des internautes. De plus, même les utilisateurs qui possèdent une version 64 bits du système d’exploitation travaillent le plus souvent avec la version 32 bits du navigateur. Comme le suppose Tarakanov, "Il est tout à fait possible que la création de la version 64 bits de ZeuS ne soit qu’un simple coup marketing. La nouvelle fonction est en gros inutile, mais en attendant son auteur peut se vanter de la prise en charge des navigateurs 64 bits. Cela peut être efficace pour la promotion du programme malveillant et pour attirer des acheteurs parmi les exploitants de réseaux de zombies".  

Bien que la prise en charge des systèmes 64 bits ne soit pas vraiment une actualité pour les cybercriminels modernes, elle offre de nouvelles perspectives au programme malveillant bancaire. La possibilité de communiqué indépendamment avec le serveur de commande via Tor, pas du tout unique, mais toujours rare malgré tout, lui donne accès au marché exclusif des programmes malveillants dotés de cette fonction. "Que l’auteur de cette version de ZeuS ait été motivé par l’idée d’un coup publicitaire ou d’un pari sur l’avenir, nous pouvons déclarer officiellement qu’il existe une version 64 bits de ZeuS intégrale. Il s’agit d’une nouvelle branche dans le développement de cette famille" résume Dimitri Tarakanov.

Le code source de ZeuS est disponible en ligne depuis le printemps 2011. Depuis lors, l’arsenal du cheval de Troie n’a cessé de s’enrichir et il a notamment acquis la capacité de fonctionner dans les réseaux de zombies p2p. Il exécute sa principale fonction via des injections Web qui se déclenchent lorsque des pages particulières de banques sont ouvertes dans le navigateur. ZeuS insère dans le code HTML du texte supplémentaire, collecte les données saisies sur le formulaire et les envoie à l’opérateur via une communication directe avec le serveur ou via d’autres participants au réseau p2p.  La réalisation de ces communications via Tor rend les activités du programme malveillant plus discrètes : ce service anonyme est même trop robuste pour la NSA.

D’après les informations de Dimitri Tarakanov, la version 64 bits découverte par Kaspersky Lab était intégrée à un exemplaire 32 bits de ZeuS et elle remonte au mois de juin. De plus, à en juger par la date de compilation renseignée dans cet exemplaire (29 avril 2013), cela fait au moins six mois que la nouvelle version existe dans la nature. L’expert a également signalé que le cheval de Troie active son application tor.exe de manière indirecte : il lance d’abord le processus système svchost.exe dans l’état suspendu et place tor.exe dans la mémoire de ce processus. Ensuite, ZeuS configure le code inséré de telle sorte que celui-ci fonctionne sous le couvert de svchost. Une fois lancé, tor.exe crée un serveur proxy qui écoute les connexions entrantes sur le port TCP 9050. Par conséquent, si le navigateur est configuré comme il se doit, tout son trafic transite via Tor, y compris les communications entre ZeuS et son serveur de commande. D’après Tarakanov, ce serveur se trouverait sur un domaine onion et il serait accessible uniquement via le réseau anonyme.

ZeuS crée également sur l’ordinateur de la victime un serveur Tor dissimulé et un dossier de sa configuration, puis il génère une clé privée unique sur la base de laquelle un nom de domaine est créé. Ainsi, lorsque l’ordinateur infecté est connecté à Internet, le responsable du bot peut établir une connexion via un domaine onion unique et administrer à distance le poste de travail de la victime.

Il est intéressant de voir que le fichier de configuration de la version 64 bits de ZeuS contient une liste de plus de 100 applications qui doivent faire réagir l’application si elle les découvre sur l’ordinateur infecté. "Toutes ces applications utilisent d’une manière ou d’une autre des données personnelles de l’utilisateur qui pourraient être très intéressantes pour des cybercriminels. Il s’agit de données d’autorisation, de certificats, etc." nous explique Dimitri Tarakanov en rappelant que ZeuS est capable d’intercepter les frappes au clavier avant le chiffrement et après celui-ci. Par conséquent, en travaillant à l’intérieur de ces applications, ZeuS est en mesure d’intercepter et d’envoyer à son maître une volé d’informations de valeur.

http://threatpost.com/64-bit-version-of-zeus-banking-trojan-in-the-wild/103159

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *