Le cheval de Troie Zeus est l'un des plus anciens malware utilisés pour voler les données bancaires des victimes ciblées.
Son créateur a vendu le code de Zeus à un concurrent, mais plusieurs variantes ont été publiées pendant des années. En fait, de nouvelles variantes de Zeus sont encore publiées aujourd'hui.
Ce qui n'était au départ qu'un cheval de Troie bancaire s'est transformé en un ensemble de logiciels malveillants comprenant des keyloggers, des scripts d'injection de navigateur, des ransomware et un réseau de communication peer-to-peer avancé.
Historique du cheval de Troie Zeus
Zeus a été repéré pour la première fois en 2007, mais on pense que l'auteur, Evgeniy Bogachev ("Slavic"), a créé le malware en 2005. Il était initialement conçu pour exécuter un keylogger sur la machine cible afin de voler des informations bancaires. Mais Slavic a ajouté des fonctions permettant d'injecter des scripts Web et des communications peer-to-peer entre toutes les machines infectées par Zeus pour créer un botnet.
En 2010, Slavic a annoncé sa retraite et son intention de vendre le code de Zeus à un logiciel malveillant concurrent, SpyEye, qui a activement désactivé et supprimé Zeus d'une machine ciblée pour installer son propre code. Peu après le départ de Slavic, la base de code a été rendue publique et plusieurs groupes de pirates ont créé leur propre version de Zeus. Zeus a infecté des millions de machines, et seul Slavic disposait des clés privées pour mettre à jour le code et accéder au réseau peer-to-peer, ce qui fait penser aux chercheurs que Slavic n'a jamais vraiment pris sa retraite.
Actuellement, une variante populaire du cheval de Troie Zeus est GameOver Zeus. GameOver Zeus contient l'épine dorsale de Zeus, y compris le réseau de communication peer-to-peer avec le ransomware.
Le ransomware agit comme un dispositif de sécurité si le malware ne parvient pas à voler des informations bancaires. Pendant une courte période, les chercheurs ont empêché GameOver Zeus de communiquer et de fonctionner efficacement, mais les auteurs ont modifié le code pour contourner les contrôles des chercheurs.
Comment fonctionne Zbot
Zbot commence généralement par un e-mail de phishing contenant un lien malveillant permettant à un utilisateur ciblé de télécharger le malware ou une pièce jointe utilisée pour télécharger le malware après qu'un utilisateur l'ait exécuté.
La première étape consiste à déposer le malware sur le système local pour lui permettre de communiquer avec le serveur central de commande et de contrôle de Zbot. La machine locale devient également une partie du botnet Zeus Trojan, ce qui permet au propriétaire du botnet de contrôler l'appareil. Le botnet permet également à l'attaquant d'accéder aux données de la machine locale.
Le cheval de Troie Zeus original installe un keylogger, une application malveillante utilisée pour enregistrer les frappes sur le clavier de la machine. Chaque fois que l'utilisateur cible tape une URL, un nom d'utilisateur et un mot de passe dans un navigateur, le keylogger enregistre les informations et les envoie au centre de commande et de contrôle. Cette activité étant invisible pour l'utilisateur, elle se poursuit jusqu'à ce que ce dernier détermine qu'un logiciel malveillant est exécuté sur la machine.
Après plusieurs années, les auteurs de Zeus ont ajouté un composant "web inject". Ce composant ajoute du code JavaScript malveillant à une page bancaire et incite les utilisateurs à divulguer des informations sensibles. Les composants Webinject contournent l'authentification multifactorielle et volent des données directement sur le compte de l'utilisateur ciblé.
Si un utilisateur installe GameOver Zeus, le malware installe un ransomware en plus du composant de vol de compte bancaire. Le ransomware inclus dans Zeus fonctionne de manière similaire à d'autres ransomwares dans la nature. Il analyse la machine locale et les lecteurs partagés à la recherche de fichiers critiques. Le ransomware chiffre ensuite les fichiers à l'aide d'un algorithme sécurisé et avertit l'utilisateur de l'infection. L'utilisateur reçoit une note de rançon lui indiquant comment payer la rançon pour récupérer ses fichiers.
Comment Zeus affecte-t-il les ordinateurs?
Zeus est principalement un logiciel criminel, dont la fonction première est de voler les informations bancaires d'un utilisateur ciblé. Le composant webinject exécute une grande partie de la fonctionnalité permettant de voler les informations bancaires d'un utilisateur, mais le botnet et la communication peer-to-peer rendent Zeus unique. Zeus dispose également d'une fonctionnalité de proxy utilisée pour protéger le serveur de commande et de contrôle de la détection.
À l'origine, chaque réseau peer-to-peer avait sa propre dorsale gérée par son propre propriétaire. Les chercheurs pensent que le botnet a été utilisé pour protéger les infrastructures critiques de la détection, ce qui a semblé fonctionner pendant plusieurs années. Slavic s'est associé à plusieurs cybercriminels, de sorte que n'importe qui dans le groupe aurait pu contrôler son propre botnet.
Cependant, Slavic avait un accès exclusif à toute l'infrastructure dorsale. Slavic pouvait accéder au réseau peer-to-peer pour mettre à jour les logiciels, récupérer des données ou simplement écouter les activités. Il gardait un contrôle total sur Zeus, même si un groupe de cybercriminels possédait l'ensemble du réseau.
Si l'ordinateur d'un utilisateur ciblé est affecté par GameOver Zeus avec un ransomware, l'ordinateur sera probablement inopérant. L'une des raisons pour lesquelles le ransomware est efficace pour extorquer des entreprises est sa capacité d'analyse.
Le ransomware analyse les lecteurs mappés, qui comprennent généralement les serveurs du réseau. Les fichiers de l'environnement sont chiffrés de manière irréversible, de sorte que les ordinateurs vulnérables aux ransomwares sont rendus inopérants, y compris les serveurs exécutant des applications critiques.
Si les serveurs ou les postes de travail redémarrent, ils peuvent tomber en panne ou ne plus être accessibles aux utilisateurs. Dans de nombreux cas, la seule façon pour les administrateurs de se remettre de ce type d'attaque est de réimager le serveur, ce qui signifie une installation propre du système d'exploitation et la récupération des fichiers cryptés à partir de la sauvegarde.
Le temps nécessaire à la reprise après sinistre est autant de temps où l'entreprise ne fonctionne pas, ce qui entraîne souvent de graves pertes de revenus.
Quels dommages Zeus peut-il causer?
Un élément clé des logiciels malveillants sophistiqués est de rester actif dans un environnement sans que les administrateurs ou les utilisateurs ne détectent sa présence. Zeus est considéré comme l'une des applications malveillantes les plus sophistiquées dans la nature et survit depuis plus de 15 ans. Le malware a deux objectifs principaux : voler des informations bancaires et restreindre la communication entre les autres ordinateurs du botnet.
Zeus s'intègre au système de l'ordinateur afin de pouvoir continuellement voler des données, communiquer avec le serveur de commande et de contrôle et s'injecter dans les pages Web des comptes bancaires. Il ne vise pas à endommager les ordinateurs, sauf si la machine cible est infectée par GameOver Zeus, une variante contenant un ransomware.
Une fois l'ordinateur ciblé ajouté au botnet, il communique avec le serveur de commande et de contrôle. Un attaquant supervise le serveur de commande et de contrôle et peut exécuter des commandes sur l'ordinateur infecté, comme accéder à un contrôle à distance ou envoyer à l'attaquant des données volées.
Zeus vise avant tout à voler des informations bancaires. Il surveille donc en permanence l'activité du navigateur Web à la recherche d'identifiants de comptes bancaires et injecte des scripts malveillants dans les pages Web ouvertes.
Certains auteurs de logiciels malveillants créent des virus pour détruire les ordinateurs, mais les créateurs de Zeus ont conçu le logiciel malveillant pour empêcher la détection et permettre aux utilisateurs de travailler sans interruption. Plus le malware reste longtemps sur un ordinateur, plus l'attaquant peut extraire de données de l'activité de l'utilisateur.
Chaque ordinateur du botnet peut également servir de sauvegarde si un autre ordinateur se déconnecte du réseau du malware.
Qui est visé par Zeus?
Zeus n'a pas de cible officielle. Les logiciels malveillants ciblant les entreprises sont conçus pour perturber la productivité ou extorquer de l'argent, généralement des millions de dollars.
Zeus vise à voler les informations d'identification bancaires afin que les attaquants puissent dérober de l'argent aux particuliers et aux entreprises. Les attaquants qui contrôlent un botnet spécifique peuvent cibler des entreprises particulières, mais le malware est conçu pour fonctionner sur des serveurs, des appareils Android et des postes de travail Windows.
Zeus a élargi son éventail de victimes en ajoutant les appareils Android à son cheval de Troie Windows uniquement et les gouvernements à ses cibles commerciales et individuelles. Le composant de commande et de contrôle de Zeus permet aux attaquants d'accéder aux données de la machine locale.
Les gouvernements risquent donc de perdre des secrets commerciaux et des informations exclusives si l'un de leurs postes de travail est compromis par le malware Zeus.
Le malware et le botnet Zeus ont déjà dérobé des données à plusieurs agences gouvernementales et entreprises privées notables. Les attaquants ont utilisé Zeus pour voler des données de la NASA, du ministère américain des transports (DOT), de Bank of America, d'Amazon, d'Oracle, d'ABC et de Cisco.
Trojan Zeus vs. GameOver Zeus : Comprendre les différences
Les attaquants ayant accès au code source original de Zeus ont déjà créé plusieurs variantes. Une variante récente, GameOver Zeus, est beaucoup plus sophistiquée que son prédécesseur. GameOver Zeus possède également un composant botnet, mais ajoute une couche de sécurité de chiffrage aux données de communication afin de les protéger des enquêtes des forces de l'ordre.
Comme indiqué précédemment, GameOver Zeus présente les mêmes caractéristiques que le Zeus original, avec en plus le chiffrage des communications et le ransomware CryptoLocker. Les deux variantes causent des dommages financiers à une cible, mais le composant CryptoLocker de GameOver Zeus est sans doute le plus dangereux pour les organisations et les particuliers.
Après l'installation de GameOver Zeus par un utilisateur ciblé, l'ordinateur de ce dernier rejoint le botnet Zeus standard, mais c'est alors que le ransomware CryptoLocker déclenche ses fonctions. CryptoLocker recherche une liste de plus de 150 extensions et types de fichiers et crypte les données. Les fichiers ne peuvent être déchiffrés avec la clé privée qu'après le paiement de la rançon par la victime ciblée.
En 2014, des chercheurs ont intercepté la clé privée de GameOver Zeus afin que toute victime de CryptoLocker puisse déchiffrer ses fichiers. Les développeurs de GameOver Zeus ont rapidement modifié leur code pour contourner les chercheurs, mais pendant une courte période, GaveOver Zeus a été facilement remédié.
Prévention
Les particuliers et les organisations peuvent prendre plusieurs mesures pour arrêter et empêcher Zeus de s'installer sur leurs machines. La première étape consiste à apprendre aux employés à identifier les e-mails de phishing, ce qui peut être fait en développant un programme de formation à la sensibilisation à la sécurité.
La plupart des installations de Zeus commencent par un e-mail de phishing. L'e-mail de phishing contient un script permettant de télécharger Zeus ou un lien permettant aux utilisateurs de télécharger Zeus dans leur navigateur.
Maintenez tous les logiciels anti-malware et antivirus à jour afin de vous assurer qu'ils identifient et arrêtent les dernières attaques. Il ne faut jamais se fier entièrement à un logiciel antivirus, mais il permet de bloquer de nombreuses menaces courantes dans la nature, dont Zeus. Les mises à jour garantissent que le logiciel antivirus identifie les variantes les plus récentes.
Zeus vole les mots de passe stockés dans les navigateurs et les gestionnaires de mots de passe. Ne stockez pas les mots de passe sur la machine. Si vous utilisez un gestionnaire de mots de passe, ne stockez pas la clé privée permettant d'accéder au gestionnaire de mots de passe.
Les employés ne doivent jamais télécharger de logiciels piratés. Les logiciels piratés contiennent souvent des logiciels malveillants cachés qui s'installent pendant l'installation d'un logiciel légitime. Téléchargez toujours des logiciels à partir de sources légitimes et utilisez uniquement les versions sous licence des logiciels.
Comment supprimer Zeus
La seule façon de supprimer Zeus d'un ordinateur est d'utiliser un logiciel antivirus. Vous ne pouvez pas déchiffrer les fichiers si CryptoLocker les a chiffrés, mais vous pouvez supprimer Zeus et le botnet en utilisant un bon programme antivirus.
Les étapes de base pour supprimer Zeus :
- Téléchargez et installez votre logiciel antivirus.
- Redémarrez votre ordinateur Windows en mode sans échec, sans support réseau. Cette étape empêche Zeus de se connecter à son botnet.
- Laissez le logiciel antivirus analyser votre ordinateur.
- Laissez l'antivirus supprimer tout logiciel malveillant trouvé sur votre ordinateur. Suivez les instructions que votre antivirus vous indique.
Comment Proofpoint peut vous aider
Les organisations doivent disposer de stratégies de gestion des risques et de lutte contre les logiciels malveillants au niveau de l'entreprise pour arrêter Zeus et d'autres variantes. Proofpoint peut aider les administrateurs à élaborer des stratégies et une infrastructure de cybersécurité pour arrêter Zeus, les ransomwares, les logiciels malveillants de type botnet et les autres applications susceptibles de nuire à votre entreprise.