Infos

ZeuS masque ses intentions dans une photo chiffrée

Les experts ont découvert une version du cheval de Troie bancaire ZeuS qui obtient les données de configuration en téléchargeant un fichier au format JPG. Les auteurs de ce nouveau venu ont dissimulé des informations clé dans le code d'une photo anodine en espérant pouvoir éviter ainsi son interception. 

C'est un chercheur français connu sous le pseudo de Xylitol qui a découvert le comportement inhabituel du cheval de Troie bancaire : il téléchargeait un fichier JPG depuis le même serveur qui hébergeait d'autres composants de ZeuS. Ensuite, Xylitol a découvert dans ce fichier des caractères sténographiques et il a partagé cette information avec Jérôme Segura de Malwarebytes.

L'analyse détaillée de l'image téléchargée par ZeusVM, c'est sous ce nom que Malwarebytes présente cette version, a établi que les auteurs du virus avaient pris une image au hasard sur Internet et avaient ajouté des données masquées à son code. Selon les experts, ces informations étaient chiffrées en Base64, puis à l'aide de RC4 et XOR. Le déchiffrement de ces informations a permis de constater que le fichier JPG contient les adresses des banques ciblées, dont Deutsche Bank, Wells Fargo et Barclays. Sur la base de cette liste, ZeusVM surveillait l'accès de la victime au système de transaction bancaire par Internet, interceptait les données et exploitait celles-ci pour réaliser des transactions frauduleuses.

Le recours à la sténographie pour masquer la présence de code malveillant ne date pas d'aujourd'hui. Cela fait longtemps que les auteurs de virus ont reconnu les mérites de cette technique. Jérôme Segura explique :« Cette méthode de dissimulation du code malveillant permet de déjouer les systèmes de détection d'intrusion sur la base de signatures ainsi que les logiciels antivirus. Les administrateurs de sites ont tendance à penser que toutes les images sont inoffensives,encore plus si elles s'ouvrent normalement."

Malheureusement, la fuite du code source de ce puissant programme malveillant bancaire a considérablement simplifié la vie des auteurs de virus et des exploitants de réseaux de zombies. Cela fait plus de deux ans que des versions personnalisées de ZeuS poussent comme des champignons et intègrent de nouveaux modules et de nouvelles fonctions. Ainsi, il y a deux jours NetworkWorld.com publiait un avis sur une version dotée d'une fonction de bot de recherche. Cette version de ZeuS vise les utilisateurs du système de gestion de la clientèle Saleforce.com : il surveille les autorisations dans ce logiciel SaaS et télécharge rapidement les données professionnelles. Tal Klein, Vice-président marketing de la société israélienne de sécurité informatique Adallom, a déclaré à Network World : "Il a volé plus de 2 Go en moins de 10 minutes" en précisant que c'est la première fois que sa société est confrontée à cette utilisation de ZeuS.

http://www.networkworld.com/news/2014/021814-zeus-banking-malware-nestles-a-278823.html

ZeuS masque ses intentions dans une photo chiffrée

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception