La messagerie instantanée accélère le vol de données Danger

L'un des logiciels malveillants les plus sophistiqués en circulation a bénéficié d'une mise à niveau qui permet aux cybercriminels d'agir encore plus vite après avoir volé des données sur un ordinateur.

Selon la société de sécurité RSA, le Zeus Trojan - accusé d'avoir activé d'innombrables cambriolages de comptes bancaires en ligne - utilise désormais un composant de messagerie instantanée qui alerte les pirates immédiatement lorsqu'ils ont capturé les informations d'identification de quelqu'un. Cela peut permettre une utilisation rapide des informations sensibles au temps, telles que les mots de passe à usage unique souvent utilisés dans les services bancaires en ligne.

Zeus n'est pas le premier logiciel malveillant à utiliser la messagerie instantanée, note RSA dans son Online Fraud Report. Un autre programme de vol de mot de passe appelé Sinowal a également été utilisé en 2008.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Une fois sur un PC, Zeus envoie des log-ins et des mots de passe un serveur distant, auquel le hacker doit ensuite accéder et trier. RSA a constaté que plusieurs variantes de Zeus ont un module de messagerie instantanée Jabber. Le projet Jabber - ainsi que d'autres services tels que la fonction de chat Gmail de Google - utilise XMPP (Extensible Messaging et Presence Protocol), un standard ouvert pour la messagerie instantanée.

Les hackers ont créé deux comptes Jabber, un pour envoyer des informations et un à recevoir. Lorsque Zeus obtient des connexions, il les envoie à un serveur distant. Le module Jabber recherche ensuite des informations d'identification pour des institutions financières spécifiques, puis transmet les informations au pirate par message instantané, dit RSA.

Le nombre d'ordinateurs infectés par Zeus aux Etats-Unis a été estimé le mois dernier par la société de sécurité Damballa. environ 3,6 millions d'ordinateurs, ce qui en fait l'un des logiciels malveillants les plus répandus et un très gros botnet.

Les utilisateurs peuvent être infectés s'ils n'ont pas installé les derniers correctifs de sécurité sur leur ordinateur et visiter un site Web conçu pour rechercher automatiquement les vulnérabilités logicielles, puis distribuer le logiciel malveillant. Zeus peut également être installé par inadvertance sur un ordinateur si une personne est trompée dans l'ouverture d'une pièce jointe contenant Zeus.

Zeus, que l'on croit être le produit d'un pirate russe connu sous le nom de AZ, est vendu des forums clandestins à des cybercriminels en herbe, selon une autre société de sécurité, Secureworks. Il peut être personnalisé en fonction des besoins des acheteurs. Par exemple, Zeus peut être codé pour enregistrer uniquement les détails de connexion pour une certaine liste spécifique de sites Web.

"La simplicité d'utilisation de la boîte à outils criminelle de Zeus pour les individus afin de créer leurs propres réseaux de chevaux de Troie sur mesure qu'il est devenu une boîte à outils privilégiée pour les criminels d'entrée de gamme à s'impliquer dans l'économie souterraine », selon Peter Coogan de Symantec, écrivant sur l'un des blogs de l'entreprise. "La plus grande disponibilité de cette boîte à outils sur les forums clandestins a également conduit à une augmentation de son utilisation."

Zeus est depuis longtemps sur la sellette des professionnels de la sécurité et un groupe gère un site Web qui suit Zeus infections et les serveurs de commande et de contrôle, qui peuvent envoyer des instructions aux PC infectés

Le ZeuS Tracker compte désormais 802 hôtes malveillants avec Zeus. L'organisation publie également une liste de blocage que les administrateurs peuvent utiliser pour s'assurer que les utilisateurs de leur réseau n'accèdent pas aux domaines Zeus dangereux.