Des chercheurs ont la preuve que l'infâme cheval de Troie Zeus, spécialisé dans le vol de données de connexion bancaires - identifiant et mot de passe -  a été cloné avec le ver Ramnit afin de créer un malware hybride capable de s'attaquer aux comptes bancaires en ligne et de se propager à travers les réseaux. Ainsi, l'entreprise de sécurité Trusteer affirme avoir découvert récemment une version mutante de Ramnit qui, semble-t-il, utilise un module d'injection Web, selon la technique dite Man-in-the-Browser (MitB) pour tromper les clients des institutions bancaires.

Sur un ordinateur infecté, le code malicieux se déclenche quand l¹internaute se connecte à sa banque en ligne. Celui-ci récupère alors les informations (identifiant et mot de passe) entrées par le client sur la vraie page web de sa banque, en interceptant le code HTML dans le navigateur web de l'utilisateur. Il envoie ensuite ces données vers un site ftp où le cyber criminel conserve les logins. Il pourra les revendre au plus offrant sur des sites d'échanges entre cyber criminels. Cette technique sort tout droit de SpyEye, le mode d'emploi de Zeus. Trusteer ne peut pas encore dire si le code source du logiciel malveillant vient de Zeus, mais l'entreprise de sécurité est convaincue qu'il y a désormais suffisamment de preuves pour dire que c'est en effet le cas.

On soupçonne que le code source de Zeus a été largement diffusé dans les milieux criminels depuis le mois de mai dernier, suite à une fuite dont l'origine n'a pu être identifiée. Les observateurs du secteur sont, depuis, à l'affût de nouveaux malwares intégrant certaines caractéristiques de Zeus, des signatures souvent très spécifiques et en général les plus dangereuses. Trusteer est convaincu que la variante Ramnit en est une première émanation. Ramnit est lui-même un ver banal, et les raisons pour lesquelles les criminels voudraient le combiner avec Zeus sont encore sujettes à interrogation. Mais, pour Trusteer, Zeus pourrait profiter des capacités de propagation de Ramnit. « Zeus ne possède pas son propre mécanisme de propagation », a déclaré Amit Klein, le CTO Trusteer. « L'auteur pourrait vouloir propager son malware dans les réseaux », a-t-il expliqué, notant que le malware hybride avait la possibilité de diffuser les données volées par Zeus à travers les réseaux, une nouvelle capacité potentiellement puissante.

D'autres versions basées sur Zeus

« S'il s'avère que le malware incorpore bien Zeus, il faut s'attendre à voir surgir dans les prochains mois d'autres logiciels malveillants construits sur une structure identique, » a-t-il ajouté. « Ramnit a été repéré dans plusieurs régions du monde, notamment au Royaume-Uni et aux États-Unis. Il s'y porte bien, » a déclaré Amit Klein, confirmant qu'un nombre inconnu, mais important, de PC infectés avait été repéré dans ces pays. Ces conclusions viennent sans doute de l'analyse de logs des serveurs de commande et de contrôle du malware basés en Allemagne.

Le comportement du nouveau Ramnit est certainement compatible avec Zeus, qui s'en prend généralement à différent sites bancaires, en particulier dans des pays où la banque en ligne est bien établie, comme c'est le cas au Royaume-Uni et aux États-Unis. « Jusque là, les institutions financières devaient se protéger contre un nombre limité de malware. Mais les attaques peuvent désormais provenir de pratiquement n'importe quel programme malveillant, ancien ou récent. Le canal utilisé par les fraudeurs pour diffuser des malwares s'est élargi de manière très significative. »

On peut trouver une analyse plus complète du nouveau malware et ses liens avec Zeus sur le site Web de Trusteer. La nouvelle version est détectée - parfois oui, parfois non - par les mêmes logiciels antivirus qui repéraient les anciennes versions de Zeus, ce qui revient à dire que, seuls certains le détectent.