Le cheval de Troie ZeuS, aussi connu sous ses petits noms « PRG », « Zbot », ou encore « WSNPoem », subit depuis fin 2009 des mutations particulièrement inquiétantes. Les chercheurs en sécurité qui observent le malware en laboratoire ont en effet noté l’apparition de fonctionnalités inédites depuis environs six mois, qui confirment que ZeuS reste à la pointe de l’innovation technique.

Ainsi, la version 1.4, identifiée pour la première fois en décembre 2009, inclut en standard une fonction d’injection de pages HTML dans FireFox, alors que cette fonctionnalité restait jusqu’ici accessible uniquement aux clients ayant fait l’acquisition d’un module externe ; elle inclut également un module de prise de contrôle à distance de la machine infecté via le protocole VNC, outil très répandu de « bureau à distance ». Mais surtout, la version 1.4 introduit un mécanisme de polymorphisme, le virus se ré-encryptant immédiatement sur la machine nouvellement infectée, de sorte que les anti-virus voient leur travail entravé.

La problématique, pour l’auteur de ZeuS, est donc clairement de valoriser le malware en innovant et en développant sa clientèle. Oui mais voilà, la plupart des versions de ZeuS en circulation se faisaient rapidement pirater, les clients n’hésitant pas à revendre leur acquisition à d’autres pirates – au rabais, et en injectant au passage une porte dérobée : il est extrêmement simple de trouver sur des forums différentes versions de ZeuS à très bas prix, voire gratuites, alors que la version payante peut être acquise auprès de l’auteur du malware pour plus de 5.000 dollars. Pour protéger son « œuvre » et ses « droits d’auteur », le développeur de ZeuS a ainsi inclus dès novembre 2009 un mécanisme de protection, basé sur une clef de licence unique, générée à partir des caractéristiques matérielles de la machine du pirate : ainsi, un autre pirate ne pourra pas installer sur son ordinateur le malware avec une clef de licence volée.

Ces innovations sont toutefois à un stade encore expérimental : les dernières versions de ZeuS (1.3.4 et supérieures) ne sont diffusées que sur un seul botnet, probablement destiné à tester les versions « beta » du malware. Le développeur dispose en effet des services d’un bon client, qui suit le malware depuis plusieurs années, au point que certaines fonctionnalités aient été codées à sa demande et soient restées en diffusion privée pendant longtemps. Ce groupe de fraudeurs, baptisé « JabberZeus » par les chercheurs, se spécialise dans le vol d’informations bancaires de comptes d’entreprises, en particulier aux Etats-Unis via le réseau de l’Automated Clearing House : à la mi-2009, les chercheurs attribuaient à ce seul groupe des tentatives de virement frauduleux de 50.000 à 100.000 dollars par jour.

--> La suite sur le site :

http://www.zdnet.fr/blogs/securite-cybercriminalite/la-tres-prolifique-descendance-de-zeus-39750852.htm#xtor=RSS-1