ZeuS recrute des collaborateur pour blanchir l’argent

La sélection de membres pour les échelons inférieurs d’une organisation criminelle chargés d’ouvrir des comptes en leur nom pour recevoir l’argent volé et réaliser à intervalle régulier des retraits en vue de les déposer dans un compte commun est une tâche qui demande beaucoup de travail. Afin de se simplifier la vie, les opérateurs de ZeuS ont trouvé une solution astucieuse. Ils ont utilisé une fonctionnalité du programme malveillant afin de rediriger les visiteurs du site CareerBuilder [point] com vers un site spécialisé dans le recrutement de mules.

Les experts de Trusteer ont détecté un type inhabituel d’attaque de la catégorie Man-in-the-Browser (MitB) suite à l’analyse d’un des fichiers de configuration de ZeuS. Dans le cadre de la surveillance des visites sur le site fréquenté de recherche d’emplois, le programme malveillant est capable d’insérer au vol un lien lien publicitaire dans la page affichée. D’après les observations des experts, le site MarketAndTarget [point] com promu de cette façon proposait des emplois vacants. Il se caractérisait également par un style rudimentaire et, à l’instar de tous les autres sites de ce genre, il était truffés de fautes de grammaire et de syntaxe. Il affichait également une publicité pour le site parent portant un nom similaire et qui se présentait comme un site d’escroquerie. D’après les données de Trusteer, le service de recrutement en ligne de ZeuS a déjà été fermé.

Etay Maor, responsable du développement des solutions de Trusteer en matière de prévention des escroqueries, signale que c’est la première fois qu’il est confronté à un cas d’injection HTML sous la forme d’un lien. Les individus malintentionnés l’utilisent en tant que maillon intermédiaire dans l’escroquerie et ils ne tentent pas de voler des informations personnelles ou autres. Pour rappel, ZeuS est un cheval de Troie de type bancaire qui exploite les injections Web visant généralement des applications bancaires concrètes. Quand la victime de l’infection ouvre une session dans son système de transactions bancaires par Internet, le programme malveillant s’active et intercepte les informations d’identification, les données de la carte bancaire et toutes autres informations à caractère privé saisies. 

Etay Maor explique : « Nous sommes face à un cas rare d’injection HTML qui tente de rediriger la victime vers une fausse offre d’emploi. Dans la mesure où le lien inséré s’affiche dans le cadre d’une recherche d’emploi active, la victime n’a aucune raison de se méfier de l’offre. Le recours à CareerBuilder en tant que plateforme de diffusion permet aux opérateurs de ZeuS d’élargir la base de candidats potentiels pour le rôle de mules. »

Le mode d’infection initiale du nouveau ZeuS n’a pas encore été établi. Ce cheval de Troie se propage généralement via des attaques par téléchargement à la dérobée ou via la diffusion de messages non sollicités. Des attaques de type MitB peuvent être réalisées non seulement par des représentants de la famille ZeuS, mais également par de nombreux autres chevaux de Troie de type banker. 

Pour conclure, il faut signaler que les cas d’exploitation malveillante de sites de recherche d’emploi ne sont pas rares. Cela fait longtemps que ce genre de site attire l’attention des criminels, surtout ceux qui cherchent à recruter des mules qui se transforment en complices conscients ou non des escroqueries. Etay Maor poursuit : « Je connais des cas où les individus malintentionnés ont attaqué un site de recherche d’emploi sept ou huit années consécutives. En général, ils agissent de l’intérieur, à savoir qu’ils publient dans le cadre de l’escroquerie des annonces sur le site pour recruter les mules. J’ai même vu des publications de CV contenant un lien vers un page d’attaque par téléchargement à la dérobée qui permettait au programme malveillant de voler le mot de passe du visiteur. »

Source : https://www.trusteer.com/blog/job-seekers-zeus-is-recruiting-mules

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *