Accéder au contenu principal

Le malware bancaire Zeus passe en 64 bits

Une version 64 bits du malware bancaire Zeus a été découverte. Les cybercriminels se préparent à la migration des éditeurs de logiciels vers ce type d'architecture et adoptent le réseau Tor pour les communications.

Kasepersky Lab a découvert une version 64 bits de Zeus dans un  échantillon en 32 bits. Ce dernier injecte du code 32 bits dans le navigateur et s'il constate que le navigateur est en 64 bits, le malware bascule sur cette architecture. L'analyse de code a montré que le malware était en circulation depuis le mois de juin. Cette découverte est considérée comme un élément important pour Kurt Baumgartner, chercheur en sécurité chez Kaspersky. « Le développement de Zeus et ses variantes en 64 bits tend à se banaliser dans le monde underground », explique le chercheur. « Cela signifie que l'industrie de la sécurité a maintenant un problème réel avec le 64 bits », ajoute-t-il. « Les chercheurs et la communauté sur la sécurité avaient depuis longtemps anticipé l'arrivée de malwares 64 bits. Ils voient arriver un des plus utilisés et vont devoir relever un défi pour l'arrêter ».


Les cybercriminels suivent en général les tendances du développement logiciel pour assurer un pérennité à leurs « créations ». La meilleure façon de pirater un logiciel en 64 bits est de construire un malware sur la même architecture. Pour autant, les analystes n'attendaient pas cette version pour Zeus si tôt, car il n'y avait pas de besoin particulier. Zeus cible traditionnellement les navigateurs web. Or la plupart de ces derniers sont en 32 bits. La part de marché d'IE en version 64 bits est aujourd'hui de 0,01 %. Et même si le navigateur est sur un OS 64 bits, Zeus peut encore récupérer les données bancaires et d'autres informations, comme les identifiants et les cookies. Le malware peut aussi modifier les données pour couvrir son passage.


En mai dernier, Trend Micro a constaté une augmentation significative de l'utilisation de Zeus. En 2011, le code source de Zeus a été publié sur Internet, ce qui a permis le développement de plusieurs variantes, dont le célèbre GameOver.

Une adoption du réseau Tor qui inquiète

Kaspersky estime néanmoins que la dernière version de Zeus peut apparaître comme un coup marketing. « Le support des navigateurs 64 bits est un excellent moyen de promotion pour attirer les acheteurs, tels que les détenteurs de botnets », estime Dmitry Tarakanov, expert au Kaspersky Lab, dans un billet de blog.

Zeus 64 bits utilise le réseau anonyme Tor pour le serveur de commande et contrôle. Une option dans certaines versions 32 bits de Tor, mais obligatoire dans la récente mouture. Dmitry Tarakanov déclare que « le malware Zeus a la capacité de travailler en autonomie via le réseau Tor à travers des domaines de C & C (Command et control). Cela signifie qu'il peut s'associer avec d'autres familles de malware sur le réseau Tor ».

Commentaires

Posts les plus consultés de ce blog

BYOD, cloud, reseaux sociaux ..... attention à la sécurité

De plus en plus de collaborateurs utilisent leurs appareils personnels en entreprise et se connectent au cloud et aux réseaux sociaux dans un contexte professionnel. Comment garantir la sécurité de ces nouveaux usages ? Mauro Israel, consultant formateur Demos et responsable du pôle audit sécurité et tests d’intrusion chez Fidens, dresse la liste des risques et donc des bonnes pratiques à adopter. Les nouveaux usages remettent en question les modèles classiques de protection des systèmes d’information et des infrastructures réseaux et télécoms.     ● Facebook, Twitter, Linkedin, Viadeo… Vous le savez, les réseaux sociaux ont envahi notre quotidien, privé comme professionnel.     ● L’utilisation des smartphones et des tablettes explose en France : en 2012, en moyenne, 29 % des Français étaient ainsi équipés d'un smartphone et 8 % d'une tablette (+ 12 points chez les cadres supérieurs et + 11 points chez les revenus les plus élevés en un an).     ● C...

Une faille Windows exploitée par la Russie

Une vulnérabilité critique a été détectée dans Windows. Selon un cabinet de sécurité informatique, cette brèche est exploitée depuis plusieurs années par les autorités russes pour espionner des cibles comme l'OTAN, la Pologne ou encore l'Ukraine. Un opérateur télécoms français est aussi concerné. C'est une découverte qui ne devrait pas améliorer les relations entre l'Occident et la Russie, qui sont déjà fortement tendues à cause de la crise ukrainienne. Selon la firme  iSight Partners , dont la spécialité est la sécurité informatique, la Russie a exploité pendant des années une faille critique dans Windows pour espionner de nombreuses cibles en Europe et aux États-Unis. Cette vulnérabilité affecte toutes les versions de Windows à partir du second Service Pack de Vista. Même la toute dernière déclinaison du système d'exploitation, Windows 8.1, est touchée. Par ailleurs, elle a été aussi détectée dans les versions 2008 et 2009 de Windows Server. Il s'ag...

LA SÉCURITÉ IT D’ADOBE BATTUE EN BRÈCHE

Des millions de codes d’accès de comptes utilisateurs évaporés, diffusion incontrôlée de codes sources de produits…Adobe traverse une passe difficile, qui nécessiterait un examen de conscience. Facebook  préfère prendre les devants tant la brêche de  sécurité IT  chez  Adobe  a été énorme. Le réseau social a demandé à ses membres utilisant la même combinaison de codes d’accès (identifiant et mot de passe) de modifier leur formule.  Si vous avez été affecté,  laissez-nous votre témoignage dans les commentaires. C’est une mesure de précaution prise par le réseau social afin d’éviter des éventuels dégâts collatéraux c’est à dire des accès frauduleux sur la plateforme communautaire en empruntant des profils piratés via Adobe. Interrogé sur le blog  KrebsOnSecurity , Jay Nancarrow, porte-parole de Facebook, a confirmé cette mesure, sans toutefois indiquer le nombre de membres du réseau social contactés dans ce sens. « Nous restons vig...