Les pirates ont trouvé une nouvelle façon de tromper les solutions de sécurité informatique pour insérer le malware Zeus sur les postes de travail. Actif depuis plusieurs années, ce logiciel malveillant est spécialisé dans le vol de coordonnées bancaires. Selon la société Malcovery Security, basée en Géorgie aux États-Unis, a alerté les responsables informatiques, après avoir constaté qu'aucun des 50 programmes de sécurité sur le service de détection en ligne de Google, VirusTotal, ne bloquait le malware dimanche dernier.

Gary Warner, directeur technique de Malcovery, a en effet publié sur son blog un assortiment de messages de type spam, qui usurpent les adresse de marques et d'organisations telles que la solution de gestion RH ADP, le Better Business Bureau et l'administration fiscale britannique HMRC . Les spams contiennent un fichier de type « .zip », qui, une fois ouvert, contient une petite application appelée UPATRE . Ce fichier exécutable télécharge un binaire «.enc » utilisé pour les partitions musicales, qu'il décrypte ensuite. Et le cadeau surprise est GameOver Zeus, une variante du célèbre malware Zeus.

Zeus évolué pour tromper les systèmes de sécurité réseau

Zeus est apparu en 2006 et a longtemps été une épine dans le pied des banques. Son code source a été divulgué en mai 2011, et les cybercriminels ont continué à lui apporter des améliorations et à rendre son architecture réseau plus résiliente, selon la division SecureWorks de Dell.

Les produits de sécurité tombent sur le fichier « .enc » qu'ils considèrent comme inoffensif car il ne se termine pas par l'extension « .exe », qui désigne un programme exécutable, indique M. Warner. « Pourquoi ? Eh bien, parce que techniquement, ce n'est pas un logiciel malveillant ».

Il demande donc aux administrateurs de réseau de regarder leurs logs pour vérifier si des fichiers « .enc »  n'ont pas été téléchargés sur des postes de travail. La distribution du spam est assurée par le botnet Cutwail, une autre plate-forme bien connue pour la diffusion de logiciels malveillants . « Il est très probable que de nombreux criminels paient pour utiliser cette infrastructure », précise encore le directeur technique.