«Ils élargissent leurs horizons, au-delà de leurs cibles habituelles constituées par les banques en ligne », a déclaré Derek Manky, project manager en cybersécurité, le chercheur travaille sur les menaces informatiques pour Fortinet, une entreprise californienne basée à Sunnyvale. « Nous avons repéré des discussions au sujet de comptes de placement ciblés par Zeus, mais je n'ai pas encore vu la preuve qu'ils l'ont été en réalité. »

Les infections de Zeus sont disséminées à partir de faux messages de rappels émanant de LinkedIn, qui incluent des liens masqués vers des sites malveillants, lesquels sont chargés en retour de frapper tout PC sous Windows avec plusieurs types d'attaques, jusqu'à trouver la faille à exploiter. Parmi elles figurent le bug du centre d'aide et de support de Windows révélé au mois de juin dernier par un ingénieur en sécurité de Google et corrigé en juillet par Microsoft. « L'analyse du logiciel malveillant effectuée par Fortinet apporte la preuve que les attaques cherchaient à voler de l'argent sur les comptes d'investissement détenus par le groupe Charles Schwab, » a déclaré Derek Manky.

Après s'être insidieusement infiltré dans un PC, le bot Zeus observe et capture, à l'insu de l'utilisateur, les identifiants de connexion de toutes ses banques en ligne, ainsi que les identifiants et les mots de passe des comptes détenus par Charles Schwab. Le code d'attaque inclus un faux formulaire demandant aux victimes de fournir des informations supplémentaires, comme le nom de jeune fille de la mère du client, son numéro de permis de conduire ou encore le nom de son employeur, que les voleurs pourront utiliser plus tard afin de prouver qu'ils sont bien les propriétaires d'un fonds de placement détenu chez Charles Schwab. Derek Manky pense que le système d'attaque à partir des faux messages LinkedIn parce qu'ils misaient sur une forte corrélation entre leur identité sur le réseau social et les informations bancaires.

Des méthodes plus en plus élaborés

« Les attaques de Zeus ont commencé fin de septembre, avec un pic observé début octobre, » a déclaré Derek Manky, lequel fait remarquer que les criminels mènent très souvent des campagnes en plusieurs vagues. Les domaines utilisés pour le commandement et le contrôle du botnet sont toujours actifs, il continue à recevoir des informations volées sur les PC infectés et à assurer la transmission de nouvelles commandes au botnet. «Ils injectent du code en tâche de fonds pendant une session active quand on se connecte au site officiel de Charles Schwab, » souligne le spécialiste de la sécurité à propos du formulaire, preuve qu'il  est impossible pour un utilisateur de voir que celui-ci est un faux. « En ce qui concerne le client, tout lui indique qu'il se trouve dans une session sécurisé valide, alors qu'il a affaire à un contenu malveillant. » Le chercheur de Fortinet affirme que les pirates utilisent le formulaire pour obtenir des informations d'authentification supplémentaires afin de parer aux requêtes de confirmation qui sécurisent les demandes de transactions en ligne, en plus des noms d'utilisateur et des mots de passe.

« Comme la plupart des gangs de botnet Zeus, ceux-ci récupèrent les liquidités, puis utilisent des « passeurs d'argent» pour transférer les fonds aux dirigeant de ces organisations, » explique Derek Manky. Grâce à l'accès aux comptes d'investissement, les escrocs peuvent non seulement s'emparer de l'argent, mais aussi vendre des titres pour réapprovisionner le compte et réaliser ainsi d'autres retraits. Selon les experts, l'arrestation par la police d'une centaine de membres d'un gang Zeus aux États-Unis, au Royaume-Uni et en Ukraine il y a trois semaines, ne suffira pas à stopper le botnet. « D'autres gangs peuvent facilement réapparaître » a également convenu le chercheur. «D'autant que Zeus est largement soutenu et dispose aujourd'hui d'un nombre important de développeurs. Si bien que le jeu du chat et de la souris va naturellement se poursuivre, » conclut-il.

 

Crédit Photo: D.R