Zeus, le dieu des virus contre les banques

Découvert en 2007, Zeus reste le code malveillant le plus craint actuellement sur internet pour les services de e-banking. Aussi appelé  Zbot, Kneber, PRG, NTOS, Wsnpoem ou Gorhax, il permet de collecter les informations d’authentification et bien sà»r d’interagir en mode « man-in-the-middle » pendant une session.

A survey of financial services professionals at 70 banks found more than half considered real-time man-in-the-middle attacks from banking Trojans such as ZeuS and Clampi on compromised customer computers to be the greatest threat to online banking today.

Also read: ZeuS botnet code keeps getting better…for criminals

In these online attacks against banks and their customers, criminals managed to compromise PCs with a banking Trojan and make fraudulent funds transfers to their own accounts or those of “money mules” ordered to send the stolen amount to them. This is typically aimed at stripping business accounts of assets, and in the last few years, evidence shows Trojan-based attacks have been quite successful, though law enforcement around the world has also been able to break up a few of these often international cybercrime rings.

via  ZeuS-style banking Trojans seen as greatest threat to online banking: Survey.

L’infection nécessite l’installation d’un code exécutable en local sur le poste de travail et s’effectue grà¢ce aux modes habituels de propagation :

• Le Phishing : une pièce jointe à  un email ou
• Le Drive-by-dowload: une proposition de télécharger un fichier lors de la navigation sur une page web infectée.

Une version existe également pour les téléphones évolués et autres PDAs qui utilise cette fois le canal du SMS pour télécharger le code malveillant sur le terminal. On parle alors de SMiShing.

Comme tout logiciel, il est disponible au téléchargement sous plusieurs versions disposant dans certains cas d’un système de licence pour l’activer. Selon les informations disponibles, il est accessible pour un prix entre 600 et 4’000 Euros.

Autres liens utiles :

• Cybercriminals Target Online Banking Customers de M86 Security Labs. C’est l’analyse à  ne pas manquer : Un rapport très instructif et actuel sur la machinerie de ce code malveillant. Il fait suite à  l’attaque de cet été d’une série de sites e-banking au Royaume-Uni. Dans une premier temps, il décrit la séquence de la fraude et rapport le fait que très peu d’antivirus ont été capable de détecter ce code malveillant. Il décrit l’architecture des pirates ainsi que les manières utilisées pour vider le compte (utilisation de l’algorithme Robin Hood) et la distribution automatique vers les comptes des mules financières.
• ZeuS Banking Trojan Report : Une description technique de Zeus, ses fonctions et ses attributs.
• Zeus : Une présentation et différents liens pour mieux le comprendre

Et une présentation de Zeus en video :