Le malware bancaire Zeus cache un fichier crucial dans une photo

Une variante récemment découverte du fameux cheval de Troie bancaire Zeus déguise un code de configuration crucial dans une photo numérique, une technique connue sous le nom de stéganographie.

Zeus est l'un des outils les plus efficaces pour voler des informations bancaires en ligne, détournant les informations de connexion lorsqu'une personne accède à son compte et masquant les transferts secrets en arrière-plan.

La variante, appelée ZeusVM, télécharge un fichier de configuration qui contient les domaines des banques dans lesquelles le logiciel malveillant est invité à intervenir lors d'une transaction, a écrit Jerome Segura, chercheur principal en sécurité chez Malwarebytes. Il a écrit que le comportement a été remarqué pour la première fois par un chercheur en sécurité français qui écrit sous le nom de Xylitol.

"Le malware récupérait une image jpg hébergée sur le même serveur que d'autres composants de malware", a écrit Segura..

La stéganographie est utilisée depuis longtemps par les auteurs de logiciels malveillants. En incorporant du code dans un format de fichier qui semble légitime, il est possible que le fichier reçoive le feu vert du logiciel de sécurité.

"Du point de vue du webmaster, les images (en particulier celles qui peuvent être visualisées) sembleraient inoffensives", a écrit Segura..

L'image suspecte semble être beaucoup plus grande par rapport à une image identique en mode bitmap, écrit-il. Les données ajoutées par les cybercriminels avaient été cryptées à l'aide du codage Base64 puis des algorithmes de cryptage RC4 et XOR.

Une fois décrypté, le fichier montre les banques ciblées, dont Deutsche Bank, Wells Fargo et Barclays.

Envoyez des conseils et des commentaires sur les nouvelles à [email protected] Suivez-moi sur Twitter: @jeremy_kirk

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.