Developpez.com

Plus de 2 000 forums
et jusqu'à 5 000 nouveaux messages par jour

Zeus : le cheval de Troie bancaire signe son retour avec une nouvelle variante
ZeusVM injecte du code malveillant dans des images

Le , par Francis Walter, Expert éminent sénior
Des pirates ont trouvé un nouveau moyen pour exploiter le cheval de Troie Zeus. Zeus est un malware ayant pour objectif de dérober des informations bancaires lors des transactions en ligne. Il utilise des attaques « Man-In-The-Browser » pour opérer ses vols. « Le cheval de Troie Zeus est un des chevaux de Troie bancaires les plus célèbres jamais créés. Il est si populaire qu'il a donné naissance à de nombreuses ramifications et imitations », affirme Jerome Segura, chercheur sénior en sécurité chez Malwarebytes.

La nouvelle variante de Zeus récemment découverte s’appelle ZeusVM. Elle utilise une technique sténographique qui consiste à « dissimuler des données à l’intérieur d’un fichier existant sans l’endommager ». Le comportement de ZeusVM aurait été remarqué par un chercheur français en sécurité connu sous le nom de Xylitol.

Jerome Segura explique que le malware « récupérait une image JPG hébergée sur le même serveur que les autres composants du logiciel malveillant ». La technique consisterait à intégrer du code malveillant dans une image pour pouvoir voler les informations désirées comme dans l’image ci-dessous. Ainsi, les chances qu’un logiciel de sécurité laisse libre court à l’opération sont fortes. « Ce n'est pas la première fois que nous voyons des données des logiciels malveillants dans des fichiers inoffensifs », affirme Jerome Segura. La technique serait très ancienne. La résolution de l’énigme derrière cette technique est donc plaisante.


Alors, pour vérifier si une image est truquée ou non, il suffit de retrouver la même image avec les mêmes caractéristiques (nom, dimension, extension) sur Internet et de faire une comparaison côte à côte en mode bitmap, soit faire une comparaison du code hexadécimal pour voir les informations qui ont été ajoutées par rapport au fichier original. Toutefois, Jerome Segura précise que cette pratique d’identification ne marche pas à tous les coups.


Les pirates ont eu l’ingénieuse idée de crypter les informations supplémentaires avec les algorithmes d’encodage Base64, RC4 et XOR pour « rendre l’identification plus difficile ». Une fois qu’on arrive à déchiffrer les informations en surplus dans le fichier truqué, on peut savoir les banques visées par le malware. L’une de ces banques serait la Banque allemande (Deutsch Bank).


Lorsqu’un utilisateur est infecté par ZeusVM, les informations de son compte bancaire sont dérobées. Ainsi, le pirate peut vider le compte de l’utilisateur sans qu’il ne s’en rende compte. La banque n’a cependant aucun moyen de détecter si l’utilisateur est le vrai ou non.

Source : blog Malwarebytes

Et vous ?

Avez-vous déjà remarqué un fichier truqué ?
Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de lvr lvr - Membre éprouvé http://www.developpez.com
le 21/02/2014 à 12:55
Ca fonctionne comment ?
- On ouvre une image sur le web (en gros toutes les images sur le web sont suspectes maintenant ???)
- Quand le browser (firefox par exemple) l'ouvre, Firefox exécute à son insu le code malveillant contenu dans l'image
- Ce code malveillant vient infecter notre pc ?
Avatar de dahtah dahtah - Membre éclairé http://www.developpez.com
le 21/02/2014 à 13:10
Citation Envoyé par lvr  Voir le message
Ca fonctionne comment ?
- On ouvre une image sur le web (en gros toutes les images sur le web sont suspectes maintenant ???)
- Quand le browser (firefox par exemple) l'ouvre, Firefox exécute à son insu le code malveillant contenu dans l'image
- Ce code malveillant vient infecter notre pc ?

C'est pas une execution de code. Zeus utilise l'image comme transport pour son fichier de config. En fait, il cache son fichier de config (chiffre grace a un XOR et RC4) a la fin de l'image. Ensuite cette image est mise a dispo sur le C&C et Zeus la telecharge, et applique le procede inverse locallement (dechiffrage, + stegano).
Sa permet de mettre a jour sa conf, sans genere d'alerte des NIDS/HIPS/Antivirus.
Avatar de imikado imikado - Rédacteur http://www.developpez.com
le 21/02/2014 à 13:57
"Le virus se transmet par simple visite sur un site infecté"
source: http://fr.wikipedia.org/wiki/Zeus_(cheval_de_Troie)

Système d'exploitation visé
Zeus cible les ordinateurs sous Windows. Il ne peut marcher sous Mac OS et Linux. En 2012, des chercheurs du laboratoire Kaspersky ont découvert cinq nouvelles variantes de Zeus infectant les téléphones BlackBerry et ceux utilisant Android.

Détection et retrait

Zeus est furtif, il est très difficilement détectable même avec un antivirus à jour. C'est la principale raison pour laquelle cette famille de malware a le plus grand Botnet d'Internet: rien qu'aux États-Unis, 3.6 millions d'ordinateurs sont infectés.

Avatar de lvr lvr - Membre éprouvé http://www.developpez.com
le 21/02/2014 à 21:58
Citation Envoyé par dahtah  Voir le message
C'est pas une execution de code. Zeus utilise l'image comme transport pour son fichier de config. En fait, il cache son fichier de config (chiffre grace a un XOR et RC4) a la fin de l'image. Ensuite cette image est mise a dispo sur le C&C et Zeus la telecharge, et applique le procede inverse locallement (dechiffrage, + stegano).
Sa permet de mettre a jour sa conf, sans genere d'alerte des NIDS/HIPS/Antivirus.

Ca veut dire qu'il doit déjà être présent sur le pc. Pourquoi les AV ne le détecte-t-il pas à ce moment ?
Avatar de Thomas404 Thomas404 - Membre habitué http://www.developpez.com
le 21/02/2014 à 23:22
Figure toi, que les AV sont loins d'être fiable ... Alors certe ils arrivent à detecter les petites menaces, mais rien sur celles qui sont plus sérieuses,

Les écrivains de malware font des beta-test pour trouvé comment passé la vérification des AV, je n'en sais pas plus.
Avatar de lvr lvr - Membre éprouvé http://www.developpez.com
le 21/02/2014 à 23:52
Donc en gros, ils envoient un 1er virus très light qui ne contient pratiquement aucun code malicieux.
Une fois passé l'AV, celui récupère dans une image le réel code/configuration dangereuse.
C'est ça ?
Avatar de Torotoro Torotoro - Nouveau membre du Club http://www.developpez.com
le 26/02/2014 à 16:07
Oui c'est ça.
Et comme il charge une image (en apparence anodine) pour récupérer sa config, l'antivirus a encore plus de mal à identifier le "programme" comme un virus.
Avatar de HerveB76 HerveB76 - Candidat au Club http://www.developpez.com
le 27/02/2014 à 17:16
Ne serait-ce pas plutôt une technique stéganographique?
Avatar de pserru pserru - Nouveau membre du Club http://www.developpez.com
le 27/02/2014 à 19:25
Les anti-virus sont de simple nurses. Pour détecter ce genre de malware, il faut une équipe de médecins-chercheurs.
Et que vive Windows.
Offres d'emploi IT
Développeur web (h/f)
SYRAH INFORMATIQUE - Provence Alpes Côte d'Azur - Marseille (13000)
Stage access h/f
STEF - Rhône Alpes - Lyon (69000)
Ingénieur logiciel - Analyste développeur h/f
BeProject - Midi Pyrénées - Mazamet (81200)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil