Sécurité : le cheval de Troie Zeus signe son grand retour

CloudRisquesSécurité

Websense (filtrage Internet, protection des données), a découvert une nouvelle vague d’attaques visant des collaborateurs de gouvernements et des militaires. Le cheval de Troie Zeus en serait responsable.

Websense, spécialiste des solutions de filtrage pour Internet qui évolue vers des solutions plus globales de protection des données, a récemment émis une nouvelle alerte de sécurité IT.

Elle porte sur le cheval de Troie (trojan en anglais) baptisé Zeus qui serait utilisé pour voler des informations confidentielles des personnels travaillant pour les gouvernements et les départements militaires.

Début février, ce logiciel malveillant, qui a été initialement conçu et utilisé pour voler des données bancaires, a été utilisé dans une campagne ciblant des collaborateurs de gouvernement étrangers (États-Unis et Royaume-Uni principalement).

Cette menace se présente sous la forme d’un faux e-mail qui serait émis par un responsable de l’Agence centrale de renseignement (CIA), avec pour sujet: « Russian spear phishing attack against .mil and .gov employees » (une attaque de hameçonnage russe cible les adresses de collaborateurs portant des extensions .mil et .gov).

« Ces e-mails falsifiés capitalisent sur la dernière attaque Zeus, et prétendent que l’utilisation de Windows Update via les liens fournis aidera à la protection contre les attaques de Zeus », explique une alerte publiée par Websense.

« Le fichier binaire téléchargé à partir de ces liens est identifié comme un bot Zeus et le taux de détection par les antivirus est est de 35 pour cent.

Le bulletin note que « une fois de plus, les URL dans les e-mails conduisent à un fichier malicieux hébergé sur une machine compromise, mais aussi, sur un service connu d’hébergement de fichiers. »

Enfin, le mode opérationnel du malware est assez simple.

Selon Websense, après l’installation du composant Rootkit Zeus, le serveur de commande et de contrôle (C & C) est contacté pour télécharger un fichier de configuration crypté.

Un autre composant est chargé du vol de données après avoir été téléchargé et installé à partir du même C&C.

Ensuite, le bot établit une connexion avec un serveur FTP pour envoyer les données volées.

A lire également : Websense lance Triton, une nouvelle architecture de sécurité (Silicon.fr, 11/02/10)

Lire aussi :