Des chercheurs en sécurité du cabinet Proofpoint annoncent le retour de l’un des logiciels malveillants les plus notoires de tous les temps. Repéré en décembre dernier, par le biais de campagnes d’emailing vérolées, Zloader s’affirme comme une variante robuste du tristement célèbre Zeus, un malware bancaire qui fête ses 14 ans aujourd’hui.
Déjà redoutable au milieu des années 2000, Zeus utilisait - dans sa première version - des suites de tests automatisés pour voler les identifiants de connexion, ainsi que toutes données personnelles complémentaires, à partir des bases de données d’institutions financières ciblées. Se servant des mots de passe subtilisés ainsi que des cookies stockés dans les navigateurs de ses victimes, le malware télécharge ensuite le client Virtuel Network Computing (VNC) sur les appareils de ces dernières. Dès lors, il donne la possibilité à tout hacker d’effectuer des transactions bancaires illicites, sans être bloqué par les dispositifs de sécurité de l’organisme de crédit.
Depuis le début de l'année, la société de cybersécurité Proofpoint a retracé plus de 100 campagnes emailing problématiques, intégrant Zloader, une version améliorée de Zeus. La majeure partie des destinataires et victimes potentielles sont localisés aux Etats-Unis, en Europe et en Australie.
- Microsoft met en garde contre une énorme opération de phishing
- Cette extension Chrome protège-t-elle contre toutes les menaces en ligne ?
- Une fraude financière en ligne détectée toutes les deux minutes
Un malware qui évolue rapidement
Dans un billet de blog, Proofpoint explique comment - sur le modèle de son aîné - Zloader emploie une structure de données, connue sous le nom de « BaseConfig », pour stocker sa configuration initiale. Il déploie également plusieurs mécanismes d'anti-analyse pour rendre sa détection difficile, voire quasi-impossible. Ces procédés de rétro-ingénierie comptent parmi les classiques du piratage informatique : usage de chaînes cryptées, hachage des fonctions de l'API Windows, liste noire C&C et obscurcissement répétitif.
Les campagnes emailing frauduleuses ont fréquemment recours à des sujets leurres pour inciter le destinataire à les ouvrir. Actuellement, elles jouent sur la peur du coronavirus, prétendant vous fournir la liste des centres de dépistages disponibles ou encore vous invitant à commander des traitements efficaces. Certaines recensent même les autres tentatives d’escroquerie liées au Covid-19. Un comble !
En réalité, le courriel suspect renferme toujours un fichier Word ou excel téléchargeable, protégé par un mot de passe et contenant des macros qui téléchargent puis exécutent la dernière version de Zloader. A noter que depuis cinq mois, Zloader semble avoir connu 23 mises à jour mineures. Le malware bancaire évolue rapidement pour empêcher son éradication et devient l’une des plus grandes menaces cybercriminelles de la décennie en cours.
