L'alternative Zeus Trojan créée à partir de zéro arrive sur le marché clandestin

Un nouveau programme cheval de Troie qui peut espionner les victimes, voler des informations de connexion et interférer avec les sessions de navigation est vendu sur le marché clandestin et pourrait bientôt voir une distribution plus large.

La nouvelle menace s'appelle Pandemiya et ses caractéristiques sont similaires à celles du fameux programme Zeus Trojan que de nombreux gangs de cybercriminels ont utilisé pendant des années pour voler des informations financières aux entreprises et aux consommateurs..

Le code source de Zeus a été divulgué sur des forums clandestins en 2011, permettant à d'autres développeurs de logiciels malveillants de créer des programmes de chevaux de Troie basés sur celui-ci, y compris des menaces comme Citadel, Ice IX et Gameover Zeus, dont l'activité a récemment été perturbée par un effort international d'application de la loi.

"La qualité de codage de Pandemiya est assez intéressante, et contrairement aux tendances récentes dans le développement de logiciels malveillants, elle n'est pas du tout basée sur le code source de Zeus, contrairement à Citadel / Ice IX, etc.", ont déclaré mardi des chercheurs de RSA, la division de sécurité d'EMC. dans un article de blog. "Grâce à nos recherches, nous avons découvert que l'auteur de Pandemiya a passé près d'un an à coder l'application, et qu'elle se compose de plus de 25 000 lignes de code original en C."

Le nouveau programme cheval de Troie peut injecter du code escroc dans des sites Web ouverts dans un navigateur local, une technique connue sous le nom d'injection Web; saisir les informations saisies dans les formulaires Web; voler des fichiers; et prendre des captures d'écran. Du fait de son architecture modulaire, ses fonctionnalités peuvent également être étendues via des fichiers DLL individuels (bibliothèque de liens dynamiques) qui agissent comme des plug-ins.

Certains plug-ins existants de Pandemiya permettent aux cybercriminels d'ouvrir des proxys inversés sur des ordinateurs infectés, de voler des informations d'identification FTP et d'infecter des fichiers exécutables. Ses créateurs travaillent également sur d'autres pour activer les connexions inversées du protocole Remote Desktop Protocol et pour permettre au malware de se propager via des comptes Facebook piratés, ont déclaré les chercheurs de RSA..

"Comme la plupart des autres chevaux de Troie que nous avons vus récemment, Pandemiya comprend des mesures de protection pour crypter la communication avec le panneau de commande et empêcher la détection par des analyseurs de réseau automatisés", ont déclaré les chercheurs..

La nouvelle menace est annoncée sur des forums clandestins pour 1 500 $ US pour l'application principale et 2 000 $ avec des plug-ins supplémentaires, un prix d'entrée relativement élevé pour les cybercriminels. Cet aspect et le fait qu'il soit nouveau ont empêché Pandemiya de gagner en popularité jusqu'à présent, mais parce qu'il peut facilement être étendu avec des plug-ins DLL "pourrait le rendre plus répandu dans un proche avenir", ont déclaré les chercheurs de RSA..

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.