Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Comodo labs identifie une variante du cheval de troie bancaire Zeus

10 Avril 2014 , Rédigé par nicko Publié dans #informatique

Comodo Antivirus Labs a identifié une nouvelle et extrêmement dangereuse variante de Zeus le cheval de Troie bancaire. Les pirates utilisent Zeus pour lancer des attaques afin d'obtenir les identifiants de connexion des visiteurs en ligne sur les sites bancaires pour commettre des fraudes financières. L'importance de cette variante est la combinaison d'une signature numérique légitime % 2C rootkit avec ses composants de logiciels malveillants. Les logiciels malveillants avec une signature numérique valide est une situation extrêmement dangereuse.

Comodo labs identifie une variante du cheval de troie bancaire Zeus

Une signature numérique garantit aux navigateurs et aux systèmes antivirus qu'un fichier est légitime et qu'il n'est pas une menace. des versions de Zeus sont prèsentes depuis pour plusieurs années, mais avec un certificat numérique valide les systèmes antivirus sont beaucoup moins susceptibles de prendre des mesures ou donnera des niveaux inférieurs d'avertissement.

L'équipe de Comodo a identifié les Zeus variante parce qu'ils ont constamment surveiller et analyser les données des utilisateurs de Comodo internet security systems. Ils ont trouvé plus de 200 visites uniques pour cette variante Zeus par leurs utilisateurs jusqu'à présent.

Zeus est distribué à un large auditoire, infecté par composants de page web ou par e-mail d'hameçonnage (phishing). Les e-mails de phishing semblent provenir d'une source de confiance, comme une grande banque, mais ce sont en réalité des pirates.

Une attaque typique

Le type d'une attaque lancée par Zeus est appelé un “Man-the-Browser” attaque (MITB). Les pirates envoie les informations requises pour créer une session à distance où ils peuvent voir exactement ce que la victime est en train de faire et d'interférer avec leurs actions à leur insu.

Par exemple, si la victime de l'attaque va sur un site de banque en ligne pour effectuer une transaction, tels qu'un transfert de fonds, ils voient tout se qui ce produit sur votre ordinateur. pour obtenir Les informations de paiement les pirates sont munis de document falsifiés qui ressemble comme deux gouttes d'eau à l'original, mais dans les coulisses des pirates vont modifier la transaction et l'envoyer sur un autre compte avec éventuellement une plus grande somme détourné.

Les hackers travaillent avec «Money mules" qui établit des comptes bancaires à l'aide de fausses références et qui reçoive une commission pour le traitement des gains mal acquis.

Se protéger de Zeus

Pour rester à l'abri de telles menaces, installer Comodo Internet Security et assurez-vous de garder tous ses boucliers en temps réel activé.

Détails techniques

Il ya trois composantes à une attaque lancée par Zeus:

Le téléchargement: Via une pièce jointe dans un e-mail de phishing. Il va télécharger le rootkit et le composant de logiciels malveillants de l'attaque.

Le Malware: Dans ce cas, il est un voleur de données, le programme qui va voler des données utilisateur utiles, les informations de connexion, informations de carte de crédit, etc que les utilisateurs fournissent via un formulaire web.

Un Rootkit: Un rootkit cache le composant logiciel malveillant installé, le protégeant de détection et de suppression

Comodo a pu analyser la variante via un échantillon soumis par un utilisateur de Comodo.

Le cheval de troie tente de tromper l'utilisateur en se présentant comme un certain type de document Internet Explorer, y compris une icône semblable à l'explorateur Windows. Ce qui est alarmant, c'est que le fichier est signé numériquement avec un certificat valide, le faisant apparaître conforme au premier coup d'œil. Le certificat numérique est délivré à "ag
ISONET".

Comodo labs identifie une variante du cheval de troie bancaire Zeus

Lors de l'exécution, les fichiers se copie dans la mémoire, il ajoute à la fin du fichier le chemin d'accès complet, il a été exécuté à partir et puis est écrit dans %temp%\tahol.exe.

Comodo labs identifie une variante du cheval de troie bancaire Zeus

Le fichier est alors exécuté avec les sorties du programme d'installation.

Comodo labs identifie une variante du cheval de troie bancaire Zeus

En outre, le fichier exécuté tente de télécharger des composants de rootkit de deux emplacements sur le Web, lovestogarden.com / images / general / TARGT.tpl et villaveronica.it / images / general / TARGT.tpl.

Comodo labs identifie une variante du cheval de troie bancaire Zeus

Après décryptage, le rootkit est installé dans "Boot Bus Extender" pour s'assurer qu'il charge avant les autres conducteurs. Son but est de protéger les fichiers malicieux et les entrées en autorun avant qu'il soit supprimé par l'utilisateur ou un logiciel antivirus, une difficulté croissante du processus de suppression.

Comodo labs identifie une variante du cheval de troie bancaire Zeus

L'exécutable protégé qui est ajouté au démarrage est une variante du cheval de Troie connu Zbot banker, il est conçu pour récupérer d'autres données sensibles sur l'ordinateur de l'utilisateur en plus que les données bancaires.

Comodo labs identifie une variante du cheval de troie bancaire Zeus

Source: comodo

Partager cet article

Repost 0

Commenter cet article