Contexte de l’attaque
TSPY_ZBOT est la détection de Trend Micro pour les programmes malveillants liés à ce que l’industrie appelle les « botnets ZeuS ». ZeuS botnet, en fait, est un terme abrégé pour les réseaux d’ordinateurs compromis qui utilisent les chevaux de Troie ZeuS/ZBOT dans leurs opérations liées aux botnets. Les variantes de TSPY_ZBOT arrivent généralement par le biais de spam semblant provenir de sources légitimes et demandant aux destinataires de cliquer sur un lien. Ledit lien conduit au téléchargement de TSPY_ZBOT, qui s’installe silencieusement dans les systèmes pour attendre que les utilisateurs saisissent leurs informations d’identification sur des sites particuliers.
Depuis 2007, Trend Micro surveille la famille ZBOT. Le nombre de détections de ZBOT a considérablement augmenté au fil des ans, comme on peut le voir dans les articles de blog suivants :
- La surveillance de l’EYEBOT et une éventuelle guerre des zombies
- Une variante de ZBOT usurpe le NIC pour spammer d’autres agences gouvernementales
- Un nouveau binaire ZBOT/ZeuS est accompagné d’un message caché
- Les hameçonneurs ciblent les utilisateurs de messagerie instantanée AOL
- SASFIS pétille en arrière-plan
- Phishing sous couvert d’amélioration de la sécurité
- ZBOT cible à nouveau Facebook
- Encore un spam ZBOT
- L’outil « Balance Checker » de Bogus contient un malware
- Etes-vous victime d’hameçonnage (Facebook) ?
.
Lisez ici d’autres entrées relatives aux ZBOT/ZeuS.
À ce jour, Trend Micro a constaté plus de 2 000 détections de ZBOT et les chiffres continuent d’augmenter.
Quelle est la différence entre ZeuS, ZBOT et Kneber ?
Ces noms se rapportent tous au botnet ZeuS, qui est un botnet de logiciels criminels bien établi et qui serait responsable d’autres botnets connus dans la nature. La première utilisation notable du cheval de Troie ZeuS a été faite par le célèbre Rock Phish Gang, connu pour ses kits de pages de phishing faciles à utiliser. Le terme « ZBOT » est le nom de détection de Trend Micro pour tous les programmes malveillants impliqués dans ce botnet massif. Le botnet Kneber, quant à lui, est un terme récemment inventé se rapportant à une compromission ZBOT/ZeuS spécifique.
Comment cette menace s’introduit-elle dans les systèmes des utilisateurs ?
La menace peut arriver sous la forme d’un message spammé ou être téléchargée à son insu depuis des sites Web compromis. La majorité des détections de ZBOT se sont avérées cibler des sites web liés aux banques. Cependant, les récents passages de spam ont montré une diversité croissante des cibles. La liste des variantes notables de ZBOT comprend TROJ_ZBOT.SVR, qui a été utilisé pour spammer des agences gouvernementales ; TSPY_ZBOT.JF, qui a ciblé les utilisateurs d’AIM ; et TSPY_ZBOT.CCB, qui a ciblé le site de réseau social, Facebook.
Comment incite-t-il les utilisateurs à cliquer sur des liens ?
Les messages de spam prétendent généralement provenir d’entreprises légitimes et, plus récemment, d’agences gouvernementales. Des variantes de ZBOT ont de même été trouvées dans une série de spam qui surfe sur des événements populaires tels que la mort de Michael Jackson.
Quel est l’objectif principal du botnet ZeuS ?
Il est principalement conçu pour le vol de données ou pour voler des informations de compte sur divers sites comme les banques en ligne, les réseaux sociaux et les sites de commerce électronique.
Comment cette menace fait-elle gagner de l’argent à ses auteurs ?
Il génère une liste de sites Web liés aux banques ou d’institutions financières à partir desquels il tente de voler des informations bancaires en ligne sensibles telles que les noms d’utilisateur et les mots de passe. Il surveille ensuite les activités de navigation Web de l’utilisateur (à la fois HTTP et HTTPS) en utilisant les titres des fenêtres du navigateur ou les URL de la barre d’adresse comme déclencheurs de son attaque. Cette routine risque d’exposer les informations du compte de l’utilisateur, ce qui peut ensuite conduire à l’utilisation non autorisée des données volées.
Qui est à risque ?
Les utilisateurs dont les systèmes sont infectés par ZBOT et qui se connectent à l’un des sites ciblés risquent de perdre des informations personnelles au profit de cybercriminels.
Que fait le logiciel malveillant avec les informations qu’il recueille ?
Il envoie les informations recueillies via HTTP POST à des URL distantes. Les cybercriminels peuvent alors utiliser ces informations pour leurs activités malveillantes. Elles peuvent être vendues sur des marchés souterrains.
Qu’est-ce qui rend cette menace persistante ?
En plus de ses tactiques d’ingénierie sociale et de ses techniques de spamming en constante évolution, ZBOT rend la détection difficile grâce à ses capacités de rootkit. Lors de son installation sur un système affecté, ZBOT crée un dossier dont les attributs sont définis sur Système et Caché pour empêcher les utilisateurs de découvrir et de supprimer ses composants. En outre, ZBOT est capable de désactiver le pare-feu Windows et de s’injecter dans les processus pour devenir résident en mémoire. Il se termine également si certains processus de pare-feu connus sont détectés sur le système. Les variantes de ZBOT figurent également dans les téléchargements en chaîne impliquant d’autres familles de logiciels malveillants telles que WALEDAC et FAKEAV.
Alors, que puis-je faire pour protéger mon ordinateur de la menace présentée par le botnet ZeuS ?
Il est important que les utilisateurs fassent preuve de prudence lorsqu’ils ouvrent des messages électroniques et lorsqu’ils cliquent sur des URL. Étant donné que les auteurs du malware ZBOT trouvent constamment de nouveaux moyens d’attaquer les utilisateurs, il est conseillé aux utilisateurs d’employer des pratiques informatiques sûres.
Méfiez-vous des pages de phishing qui prétendent être des sites Web légitimes, car elles sont principalement conçues pour tromper les utilisateurs imprudents et les amener à transmettre des informations personnelles. Cliquer sur des liens dans des courriels provenant d’expéditeurs inconnus est l’un des moyens les plus faciles de devenir la proie d’attaques ZBOT.
Les variantes deTSPY_ZBOT sont actuellement prises en charge par Trend Micro GeneriClean, une fonctionnalité présente dans la plupart des produits Trend Micro. Les utilisateurs doivent analyser manuellement leurs systèmes pour la déclencher.
Les solutions prises en charge par le Trend Micro™ Smart Protection Network™ bloquent les spams utilisés par ce botnet pour infecter les utilisateurs via le service de réputation des e-mails. Il peut détecter et empêcher l’exécution de fichiers malveillants via le service de réputation des fichiers. Il protège également les utilisateurs contre les variantes de ZBOT en bloquant l’accès aux sites malveillants via le service de réputation Web ainsi que contre les tentatives de phoning dans lesquelles un ordinateur infecté tente de télécharger des données volées ou de télécharger des programmes malveillants supplémentaires à partir de serveurs de commande et de contrôle (C&C).
Les utilisateurs de produits non Trend Micro peuvent également vérifier leurs systèmes à l’aide de HouseCall, un outil gratuit qui identifie et supprime tous les types de virus, chevaux de Troie, vers, plug-ins de navigateur indésirables et autres programmes malveillants des systèmes affectés. Ils peuvent également utiliser Web Protection Add-On pour protéger de manière proactive leurs ordinateurs contre les menaces Web et les activités liées aux robots. RUBotted peut être utilisé pour savoir si leurs machines font partie d’un réseau de bot.
Certaines de nos détections heuristiques pour cette menace sont MAL_ZBOT, MAL_ZBOT-2, MAL_ZBOT-3, MAL_ZBOT-4, MAL_ZBOT-5, MAL_ZBOT-6 et MAL_ZBOT-7.
From the Field : Aperçus d’experts
« La récente attaque du botnet Kneber n’est qu’une autre occurrence de la façon dont les fichiers trojans ZeuS (ou ZBOT) sont utilisés. Trend Micro a publié des articles de blog à ce sujet dès 2007. En ce qui nous concerne, nous ne sommes même pas surpris. »
-Jamz Yaneza sur la récente attaque Kneber et le battage médiatique autour de la question
« Il est difficile de garder une longueur d’avance via un antivirus car les binaires ZeuS (ZBOT) changent continuellement plusieurs fois par jour pour échapper à la détection. »
-Paul Ferguson sur une attaque ZeuS en septembre 2009 qui a utilisé des messages spammés censés provenir de l’Internal Revenue Service (IRS)
.