Qu’est-ce que GameOver Zeus (GOZ)?

Zeus est une famille de malware découverte pour la première fois en 2005. En plus du composant original Zeus de vol de comptes financiers, GameOver Zeus est une variante avancée avec un composant de ransomware.

Ces deux composants augmentent la probabilité d’un paiement par l’attaquant. Non seulement GameOver Zeus est un malware qui vole des informations bancaires à l’aide d’un keylogger et de scripts d’injection Web, mais les ordinateurs infectés font également partie d’un botnet utilisé pour communiquer avec d’autres ordinateurs infectés à l’aide de protocoles peer-to-peer (P2P).

La version originale de 2005 de Zeus a été créée par Evgeniy Bogachev, communément appelé “Slavic”.

Bien que Slavic ait créé la version originale de Zeus, il a ensuite collaboré avec plus de 50 personnes se faisant appeler le “business club” pour mener des attaques d’ingénierie sociale et de logiciels malveillants sur les comptes bancaires des victimes.

Ensemble, le groupe de fraudeurs a ajouté au code original de Zeus des fonctionnalités permettant le piratage, l’activité de botnet, le déploiement de CryptoLocker et l’injection de JavaScript et d’éléments Web malveillants dans le navigateur de la victime.

En 2010, Slavic a annoncé qu’il ne prendrait plus en charge Zeus, cédant la base de code à d’autres personnes qui ont rapidement créé des variantes. Le groupe, connu des chercheurs sous le nom de “JabberZeus”, a créé des variantes appelées Murofet/Licat Zeus. Ce groupe a rendu le code de Zeus public, ce qui a conduit à la diffusion d’encore plus de variantes dans la nature.

La variante Murofet/Licat a inclus dans le code source la base de GameOver Zeus, la communication peer-to-peer et la fonctionnalité du ransomware CryptoLocker. Les attaquants sont passés du vol d’identifiants bancaires à l’utilisation d’un ransomware pour extorquer de l’argent aux victimes.

En 2014, des chercheurs ont réalisé une prise de contrôle efficace de l’infrastructure de GameOver Zeus en saisissant les domaines que Zeus utilisait pour communiquer et distribuer le malware au sein de son réseau.

Une autre variante a été rapidement publiée, sous le nom de “newGOZ”, mais elle n’a pas été active pendant longtemps et a pu servir de distraction aux chercheurs pendant que les auteurs du malware diffusaient le code au public.

Zeus étant une famille de logiciels malveillants à grande échelle, chaque variante diffère dans son mode d’attaque et sa charge utile, mais GameOver Zeus est une variante construite explicitement pour son ransomware. Une fois qu’un appareil ciblé est infecté par GameOver Zeus, il cherche à télécharger et à installer d’autres logiciels malveillants, généralement le ransomware CryptoLocker.

GameOver Zeus se propage à l’aide de messages électroniques malveillants. Ces messages peuvent contenir une pièce jointe malveillante ou un lien vers un serveur contrôlé par l’attaquant. Les utilisateurs sont contraints de télécharger le logiciel malveillant, qui ajoute l’ordinateur infecté au botnet. Chaque ordinateur du botnet se connecte au centre de commande et de contrôle du réseau Zeus, où les attaquants donnent des “ordres” aux machines infectées et mettent à jour les logiciels malveillants.

Après qu’un utilisateur ciblé a installé GameOver Zeus, celui-ci attend que l’utilisateur accède à son compte bancaire dans son navigateur. Le malware injecte des scripts et des éléments pour inciter les utilisateurs à divulguer leurs informations bancaires, comme des questions de sécurité, afin que les attaquants puissent accéder au compte bancaire de la victime pour effectuer des transactions frauduleuses. GameOver Zeus vole également les identifiants de session, que les serveurs utilisent pour identifier un utilisateur connecté à une application Web.

L’objectif principal de GameOver Zeus est de soutirer de l’argent aux victimes à l’aide d’un vaste botnet qui vole des informations bancaires ou transfère automatiquement des fonds du compte bancaire en ligne de la victime vers le compte bancaire de l’attaquant. En tant que logiciel malveillant, l’élément différenciateur de Zeus est le facteur humain. Les mules extraient l’argent des comptes bancaires locaux des victimes et envoient ces fonds sur les comptes bancaires offshore des attaquants.

GameOver Zeus s’exécute en arrière-plan d’un ordinateur Windows, vérifiant en permanence s’il contient des informations personnelles ou professionnelles, y compris des informations stockées dans des navigateurs ou des espaces de stockage protégés.

La communication de pair à pair est chiffrée pour éviter la détection de la communication du serveur entre le command-and-control et le botnet. Toute information trouvée par Zeus est envoyée à un autre pair au sein du botnet.

Les activités du botnet servent principalement à la communication entre les machines infectées, de sorte que les attaquants peuvent louer le réseau Zeus pour réaliser leur propre infection. Slavic a un accès exclusif au réseau dorsal de Zeus et utilise des clés privées pour se connecter aux pairs et les mettre à jour avec la dernière version de Zeus.

Le ransomware CryptoLocker constitue une protection si le malware ne parvient pas à voler les informations d’identification bancaires. Le composant ransomware de GameOver Zeus fonctionne généralement comme la plupart des ransomwares. Il crypte les fichiers avec RSA-2048, qui est un algorithme de cryptage sécurisé. Les fichiers ne peuvent pas être décryptés sans la clé privée, qui n’est fournie que lorsque la victime paie la rançon.

Autres données sensibles volées par Zeus :

• Les données sont interceptées lorsqu’elles sont envoyées dans des formulaires HTTP.
• Toutes les données contenues dans Windows Protected Storage sont volées et envoyées aux attaquants.
• Les certificats et les clés des clients utilisés dans les infrastructures publiques critiques.
• Les informations d’identification des comptes FTP et POP (courrier électronique).
• Cookies pour les applications HTTP et Flash.

Comme Zeus et GameOver Zeus existent depuis plus de dix ans, les dommages subis par les entreprises et les consommateurs se comptent en millions. Le pic d’activité le plus élevé de Zeus s’est produit entre 2011 et 2014. GameOver Zeus a été développé en tant que variante ultérieure et a causé la plupart de ses dommages en 2014. Il s’agit néanmoins d’un logiciel malveillant sophistiqué que les entreprises devraient prévenir activement.

Selon le FBI, GameOver Zeus a infecté plus de 250 000 ordinateurs et a été responsable de plus de 100 millions de dollars de pertes financières. Le composant ransomware CryptoLocker de Zeus est responsable de paiements de rançon estimés à 27 millions de dollars par des particuliers et des entreprises. Une étude de l’Université du Kent estime que 40 % des victimes de CryptoLocker ont payé la rançon.

Le FBI a émis un acte d’accusation à l’encontre de Slavic et de tous les conspirateurs impliqués dans le réseau de fraude et a offert des millions de dollars pour toute information relative au réseau Zeus.

Pourtant, des variantes continuent de tourmenter les entreprises et les consommateurs. Le composant botnet de Zeus affecte aussi bien les consommateurs que les entreprises, et il est difficile de détecter Zeus sur une machine affectée.

Plusieurs personnes aux États-Unis, au Royaume-Uni et en Ukraine font l’objet de mandats de perquisition et ont été accusées de fraude. On estime que 390 affaires du FBI impliquent le malware Zeus. Plus de 220 millions de dollars de tentatives de pertes ont été enregistrées, et 100 millions de dollars de pertes réelles.

Étant donné que GameOver Zeus commence par un e-mail de phishing, la première défense contre Zeus et les autres logiciels malveillants est une bonne solution de sécurité des e-mails. La deuxième est la formation.

Il est essentiel de former les employés par le biais d’un programme de sensibilisation à la sécurité. Il est prouvé que les utilisateurs capables de détecter les e-mails suspects réduisent le risque que votre entreprise soit victime d’un ransomware. Des mesures supplémentaires, telles que des filtres de messagerie et des alertes administrateur, doivent être prises pour empêcher les messages de passer dans la boîte de réception de l’utilisateur.

La plupart des emails de phishing liés à GameOver Zeus demandent à l’utilisateur de cliquer sur un lien malveillant dans le message. Les filtres de contenu d’entreprise permettent d’empêcher l’accès aux sites Web malveillants qui se cachent derrière les liens, mais les utilisateurs doivent également être encouragés à signaler les emails suspects. L’antivirus bloque l’installation de certains logiciels malveillants, mais il ne doit pas être la seule défense contre les téléchargements illégaux.

Les applications antivirus et anti-programmes malveillants de niveau entreprise empêchent les programmes malveillants de s’intégrer dans le système d’exploitation Windows. Les derniers correctifs de sécurité doivent être installés sur toutes les applications, y compris les navigateurs et le système d’exploitation Windows. Les logiciels obsolètes présentant des vulnérabilités connues sont souvent à l’origine d’infections par des logiciels malveillants.

GameOver Zeus vole les mots de passe et les données sensibles liées aux comptes bancaires. Le fait de changer régulièrement vos mots de passe réduit la capacité d’un attaquant à accéder aux comptes bancaires en ligne.

Si le tableau de bord de votre compte bancaire propose des moyens de désactiver ou de désauthentifier des sessions, déconnectez-vous de toutes les sessions accédant au compte bancaire. La plupart des banques réputées disposent d’un système de détection anti-fraude pour les comptes en ligne, mais vous ne devez pas vous fier uniquement aux systèmes anti-fraude pour empêcher l’accès à distance à vos comptes bancaires.

Il n’est peut-être pas aussi populaire que les années précédentes, mais GameOver Zeus est toujours une menace pour les consommateurs et les entreprises. Depuis sa sortie initiale en 2005, Zeus a connu plusieurs variantes déployées par divers attaquants. GameOver Zeus n’est qu’une variante parmi d’autres, comme Panda Banker, Terdot, Floki, Sphinx et Citadel.

Selon la rumeur, Slavic avait l’intention de vendre son code à un concurrent nommé SpyEye, qui vendait des logiciels de suppression de Zeus utilisés pour infecter des machines avec d’autres logiciels malveillants. Selon les rapports, Slavic s’est retiré et a remis son code, mais les chercheurs ont trouvé des preuves que Slavic construit toujours un code Zeus plus robuste pour continuer le vol bancaire. Au lieu de vendre son code, Slavic loue ou vend l’accès à Zeus à titre privé.

Le code de Zeus est disponible sur les marchés du darknet et dans les cercles de pirates, offrant ainsi une base solide aux auteurs de logiciels malveillants. Son activité de pair à pair le rend parfait pour les groupes de fraudeurs sophistiqués désireux de mettre en place une infrastructure pour construire leur propre version de Zeus.

Zeus était à l’origine un cheval de Troie bancaire, mais le ransomware s’est avéré plus efficace pour les attaquants. La plupart des attaquants de Zeus travaillent avec GameOver Zeus pour combiner l’activité du cheval de Troie avec le ransomware afin d’augmenter le succès d’un paiement.

Les organisations qui utilisent des proxies et des politiques de pare-feu peuvent bloquer les communications Zeus. Malheureusement, le blocage des communications de Zeus peut également bloquer le trafic légitime sur votre réseau, ce qui peut nuire à la productivité des employés.

À son apogée, Zeus avait 1,2 million d’ordinateurs sous le contrôle des attaquants. Le blocage des plages d’adresses IP peut donc s’avérer nécessaire pour arrêter la communication entre pairs au sein d’un réseau en cas d’urgence. Toutefois, cela pourrait ne pas être possible sans provoquer de temps d’arrêt.

Un anti-malware qui bloque spécifiquement les ransomwares et les malwares sophistiqués tels que Zeus est nécessaire, en particulier dans un environnement d’entreprise. Les fournisseurs d’antivirus bloquent souvent des domaines et des applications entiers, mais n’ont pas les capacités anti-malware d’une sécurité anti-malware plus sophistiquée.

Les nouvelles versions de GameOver Zeus comportent un rootkit nommé Necurs, ce qui rend plus difficile la suppression complète de Zeus. Zeus déploie des efforts agressifs pour continuer à communiquer et à infecter davantage d’ordinateurs. Zeus étant une application malveillante agressive, il est essentiel de disposer d’une défense anti-malware agressive.

Les organisations ont besoin d’une détection, d’un confinement et d’une réponse aux incidents plus avancés pour se protéger de Zeus et d’autres logiciels malveillants agressifs et sophistiqués. La combinaison des bonnes stratégies pour construire une infrastructure sécurisée et installer un logiciel antivirus et anti-malware permet de réduire le risque d’une infection par Zeus.

Proofpoint comprend le paysage de la cybersécurité et les dangers de laisser des logiciels malveillants comme GameOver Zeus infecter un ordinateur. Une infection par Zeus ne se limite pas à la remédiation sur un poste de travail. Zeus se répandra rapidement dans tout votre environnement et doit être contenu immédiatement.

Proofpoint peut vous aider à stopper les logiciels malveillants et à protéger votre système de messagerie pour qu’il ne soit pas le point de départ de l’attaque. Nous proposons des solutions proactives qui empêchent les messages électroniques malveillants, bloquent les logiciels malveillants d’infecter votre environnement, et éradiquent et corrigent les menaces les plus dangereuses dans la nature.