in

Le malware Zloader fait une résurgence soudaine

Les experts en sécurité ont averti que l’une des campagnes de logiciels malveillants les plus notoires de tous les temps pourrait être de retour.

En décembre dernier, des chercheurs de Proofpoint ont remarqué des campagnes par e-mail contenant une nouvelle version du fameux malware bancaire Zeus. Depuis la nouvelle année, la société a retracé plus de 100 campagnes de ce type auprès de destinataires aux États-Unis, au Canada, en Allemagne, en Pologne et en Australie.

Première apparition en 2006, Zeus utilise des injections Web pour voler des informations d’identification et d’autres informations privées aux utilisateurs des institutions financières ciblées. Le logiciel malveillant peut également voler des mots de passe et des cookies stockés sur un navigateur et utilise le client Virtual Network Computing (VNC) qu’il télécharge pour effectuer des transactions financières illicites à partir de l’appareil légitime de l’utilisateur.

Logiciel malveillant Zloader

Dans un article de blog, Proofpoint a noté comment, comme l’original, Zloader utilise une structure de données connue sous le nom de «BaseConfig» pour stocker sa configuration initiale. Il déploie également plusieurs mécanismes anti-analyse pour rendre difficile la détection et la rétro-ingénierie, y compris le code indésirable, les chaînes cryptées, le hachage des fonctions de l’API Windows, la liste noire C&C et l’obscurcissement répétitif.

La campagne utilise souvent des leurres comme pour avertir l’utilisateur d’éventuelles escroqueries au coronavirus ou pour fournir des informations sur les centres de dépistage et de traitement. Ils contiennent des fichiers Word téléchargeables ou des feuilles Excel protégées par mot de passe contenant des macros qui téléchargent et exécutent la version appropriée de Zloader.

Depuis 2006, 25 versions du logiciel malveillant ont été observées, mais la version actuelle semble être une variante d’une des anciennes versions, plutôt que la récente en 2016-18. Selon Proofpoint, le malware bancaire Zeus et ses descendants sont un incontournable du paysage de la cybercriminalité depuis 2006.