ZeuS masque ses intentions dans une photo chiffrée

Les experts ont découvert une version du cheval de Troie bancaire ZeuS qui obtient les données de configuration en téléchargeant un fichier au format JPG. Les auteurs de ce nouveau venu ont dissimulé des informations clé dans le code d'une photo anodine en espérant pouvoir éviter ainsi son interception. 

C'est un chercheur français connu sous le pseudo de Xylitol qui a découvert le comportement inhabituel du cheval de Troie bancaire : il téléchargeait un fichier JPG depuis le même serveur qui hébergeait d'autres composants de ZeuS. Ensuite, Xylitol a découvert dans ce fichier des caractères sténographiques et il a partagé cette information avec Jérôme Segura de Malwarebytes.

L'analyse détaillée de l'image téléchargée par ZeusVM, c'est sous ce nom que Malwarebytes présente cette version, a établi que les auteurs du virus avaient pris une image au hasard sur Internet et avaient ajouté des données masquées à son code. Selon les experts, ces informations étaient chiffrées en Base64, puis à l'aide de RC4 et XOR. Le déchiffrement de ces informations a permis de constater que le fichier JPG contient les adresses des banques ciblées, dont Deutsche Bank, Wells Fargo et Barclays. Sur la base de cette liste, ZeusVM surveillait l'accès de la victime au système de transaction bancaire par Internet, interceptait les données et exploitait celles-ci pour réaliser des transactions frauduleuses.

Le recours à la sténographie pour masquer la présence de code malveillant ne date pas d'aujourd'hui. Cela fait longtemps que les auteurs de virus ont reconnu les mérites de cette technique. Jérôme Segura explique :« Cette méthode de dissimulation du code malveillant permet de déjouer les systèmes de détection d'intrusion sur la base de signatures ainsi que les logiciels antivirus. Les administrateurs de sites ont tendance à penser que toutes les images sont inoffensives,encore plus si elles s'ouvrent normalement."

Malheureusement, la fuite du code source de ce puissant programme malveillant bancaire a considérablement simplifié la vie des auteurs de virus et des exploitants de réseaux de zombies. Cela fait plus de deux ans que des versions personnalisées de ZeuS poussent comme des champignons et intègrent de nouveaux modules et de nouvelles fonctions. Ainsi, il y a deux jours NetworkWorld.com publiait un avis sur une version dotée d'une fonction de bot de recherche. Cette version de ZeuS vise les utilisateurs du système de gestion de la clientèle Saleforce.com : il surveille les autorisations dans ce logiciel SaaS et télécharge rapidement les données professionnelles. Tal Klein, Vice-président marketing de la société israélienne de sécurité informatique Adallom, a déclaré à Network World : "Il a volé plus de 2 Go en moins de 10 minutes" en précisant que c'est la première fois que sa société est confrontée à cette utilisation de ZeuS.

http://www.networkworld.com/news/2014/021814-zeus-banking-malware-nestles-a-278823.html

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *