Le cheval de Troie bancaire Zeus revient avec une nouvelle force
Début novembre 2017, les experts en cybersécurité ont commencé à accroître l'anxiété des internautes en diffusant l'avertissement concernant la manifestation d'une nouvelle version du cheval de Troie bancaire Zeus.[1] Connu sous le nom de Zeus Panda, ce type de malware dangereux[2] circule sur Internet depuis juin, incitant cette année les utilisateurs inconscients de Google et d'autres moteurs de recherche à révéler leurs informations bancaires et autres informations d'identification sensibles.
Nouvelle version – stratégie de distribution sans précédent
Le code du cheval de Troie bancaire original Zeus a été divulgué en 2011. Depuis lors, plusieurs groupes de cyber-méchants l'ont exploité pour le développement de nouvelles variantes. Cependant, ni les versions ZeuS ni Zbot ne peuvent être comparées au Zeus Panda, qui est le plus prolifique et le plus avancé en termes de distribution, d'infiltration et de performances.
Zeus Panda ne s'appuie pas sur les anciennes techniques de distribution des chevaux de Troie Zeus
[3] comme les spams ou les escroqueries par hameçonnage. Ses développeurs exploitent l'optimisation des moteurs de recherche (SEO) en tirant parti du classement Google SERP (Search Engine Results Pages) des sites piratés. Les sites Web sont injectés avec des mots-clés soigneusement choisis, plaçant ainsi le lien malveillant en haut des résultats de recherche Google.Les cybercriminels ciblent un ensemble particulier de mots-clés, qui sont interrogés par des millions de personnes. De cette manière particulière, la probabilité qu'une victime potentielle clique sur le lien malveillant augmente. Malheureusement, une liste complète des mots-clés infectés par Zeus Panda, quelques exemples ont déjà été révélés par Talos :[4]
"numéro de compte bancaire nordea suède"
« heures de travail de la banque al rajhi pendant le ramadan »
« combien de chiffres dans le numéro de compte bancaire de karur vysya »
« livres en ligne gratuits pour l'examen d'employé de banque »
« comment annuler un chèque de la banque du Commonwealth »
« format de fiche de paie en excel avec formule à télécharger gratuitement »
« vérification du solde du compte de la banque de baroda »
« garantie bancaire format mt760 »
« livres en ligne gratuits pour l'examen d'employé de banque »
« formulaire de dépôt récurrent sbi bank »
« lien de téléchargement des services bancaires mobiles d'axis bank »
Exécution via un document Microsoft Word
L'ouverture d'un site web malveillant n'exécute pas le Zeus. Malware Panda immédiatement. Lorsque la victime potentielle saisit une requête de recherche compromise dans Google ou une autre recherche et ouvre un site Web compromis, il ou elle subit une série de redirections jusqu'à ce que le site avec un JavaScript déguisé et un fichier .doc corrompu soit ouvert.
Si l'homme sur le navigateur ouvre un document Microsoft Word, il obtiendra une fenêtre contextuelle lui demandant « Activer l'édition », « Activer le contenu » ou avertissant que « les macros ont été désactivées ». Tant que les macros ne sont pas activées, l'exécutable Zeus Panda (PE32) ne peut pas être injecté. Cliquer sur "Activer les macros" télécharge l'exécutable malveillant et l'enregistre dans le répertoire %TEMP% sur le système en utilisant le nom de fichier difficile à reconnaître.
Panda Trojan cible actuellement les utilisateurs situés en Suède, en Inde, en Australie et en Arabie saoudite
Il a été constaté que la nouvelle variante du cheval de Troie Zeus cible actuellement les utilisateurs suédois, indiens, australiens et arabes. La portée de ses développeurs n'est pas claire, mais il est facile de deviner qu'ils ne vont pas restreindre la distribution du malware.
Même maintenant, certains des mots-clés révélés par Talos sont plutôt universels, par exemple, des livres en ligne gratuits pour l'examen des employés de banque » ou « comment annuler un chèque de la banque du Commonwealth ».
Ce qui rend la campagne du cheval de Troie Zeus Panda la plus prolifique et la plus dangereuse, c'est le fait que le malware n'a pas d'interface et dispose d'un mécanisme d'autodestruction bien développé.[5] En d'autres termes, il ne permet pas à l'utilisateur d'un PC infecté de comprendre que le cheval de Troie est embarqué.
En outre, pour empêcher la détection et l'analyse, le virus Panda vérifie le système avant l'exécution et ne s'exécute que dans un environnement sain. En vérifiant l'environnement virtuel, le malware s'empêche de s'exécuter sur les machines virtuelles.
Le fait que les appareils basés en Russie, en Biélorussie, en Ukraine et au Kazakhstan soient contournés par la dernière version du cheval de Troie bancaire a suscité diverses spéculations sur son origine. Lors de l'installation, il vérifie le mappage du clavier et s'il correspond à l'un des pays mentionnés ci-dessus, le Zeus Panda se détruit automatiquement.
Le malware est difficile à détecter
La variante Panda du cheval de Troie Zeus n'a pas de comportement destructeur, ce qui la rend difficile ou pratiquement impossible à détecter. Si la victime n'utilise pas d'outil anti-malware professionnel ou si l'outil est obsolète, le cheval de Troie peut voler les informations personnelles de la victime pendant assez longtemps.
Selon les experts en sécurité,[6] la plupart des programmes anti-malware réputés sont capables de reconnaître le code du cheval de Troie Zeus Panda. Par conséquent, il est conseillé d'installer les dernières définitions de votre outil de sécurité et de rester vigilant.
Enfin, soyez prudent sur le contenu sur lequel vous cliquez lorsque vous naviguez. Si vous avez remarqué un lien suspect, qui contient des fautes de frappe ou si vous entrez sur un site Web qui provoque une série de redirections et vous invite à télécharger un PDF ou Word, nous vous recommandons fortement de contourner le lien de fermeture immédiate du site, à moins que vous ne soyez sûr à cent pour cent qu'il sécurise.