Nouvelle variante du cheval de Troie bancaire Zeus nommée ZeusVM trouvée stéganographiée dans des images JPG

Jerome Segura, un chercheur en sécurité senior de MalwareByte, déclare que « Une nouvelle variante du cheval de Troie bancaire Zeus (ZeusVM) a été trouvée dans un fichier image JPEG (Joint Photographic Experts Group). Cet acte de dissimulation d’images ou de messages dans d’autres messages ou images est connu sous le nom de stéganographie ».

• *

Dans le cas de ZeusVM, le code est caché dans les images JPEG de manière stéganographique. Le trojan

ZeusVm

utilise ensuite cela pour récupérer ses fichiers de configuration et perpétrer.

• *

Jerome Segura explique en outre que « Le JPEG contient le fichier de configuration du malware, qui est essentiellement une liste de scripts et d’institutions financières - mais n’a pas besoin d’être ouvert par la victime elle-même. Le JPEG lui-même a très peu de visibilité pour l’utilisateur et est largement une technique de camouflage pour garantir qu’il n’est pas détecté du point de vue d’un logiciel de sécurité ».

• *

Le Trojan ZeusVm permet une attaque de type homme du milieu dans laquelle l’attaquant ne peut pas être facilement tracé. Un attaquant peut obtenir des informations sensibles en modifiant une page de connexion à l’aide de WebInjects. Segura dit que visiter des sites Web liés à la banque peut activer le ZeusVM.

• *

Segura explique en outre que le Trojan ZeusVm est exécutable et se copie profondément dans l’ordinateur comme d’autres virus réplicants. ZeusVM peut également communiquer facilement avec le serveur de commande lorsqu’il trouve un réseau et peut également se réactiver (redémarrer automatiquement) lorsque l’ordinateur redémarre.

• *

Ce malware peut être distribué de plusieurs manières, mais sa propagation se fait principalement par des e-mails de phishing ou des attaques basées sur le web. Ce malware peut également se propager via le malvertising, qui implique des sites Web hébergeant des annonces qui diffusent des malwares. Le malvertising est la meilleure méthode pour propager de tels malwares car, dans le cas des sites Web, le malware obtient un hôte prêt à l’emploi qui est toujours en ligne. Au moment où le malware s’injecte dans la publicité, il peut devenir viral par le nombre de clics qu’il génère. Les annonces de malvertising peuvent ensuite propager des malwares à travers le trafic Internet que le hacker/attaquant peut obtenir par des moyens éthiques (moteurs de recherche) ou par des moyens illicites (e-mails de phishing/liens de spam/commentaires de spam).

• *

Segura a commencé plus de recherches sur ce Trojan et à montrer la différence entre l’image originale et l’image stéganographiée. Dans un article de blog, il a montré deux images qui semblaient exactement identiques, mais lorsqu’il a montré son résultat de visualisation des images en mode Bitmap et dans un visualiseur hexadécimal, la différence entre les deux images était clairement visible.

• *

Segura a écrit dans le post que pour rendre l’identification plus difficile, les données ajoutées sont cryptées avec Base64, RC4. Pour décoder, vous pouvez inverser le fichier avec un débogueur tel qu’OllyDbg et récupérer la routine de description.