« Zeus est un kit générateur d’outils malveillants que les entreprises doivent apprendre à connaître pour mieux s’en défendre, » estime Stuart Scholly, senior vice president and general manager, Security Business Unit chez Akamai. « C’est un outil difficile à détecter et facile à utiliser qui peut créer des failles dans les entreprises de nombreux secteurs ».

Responsable de récentes failles de sécurité

L’utilisation du logiciel malveillant Zeus a été à l’origine de plusieurs attaques récentes qui ont généré des failles de sécurité chez plusieurs sociétés du Fortune 500. Les ordinateurs, smartphones et tablettes infectés par le bot Zeus (zbot) deviennent des agents pour les pirates, servent de master malveillant, utilisent les données des utilisateurs et se transforment en botnet pour attaquer les systèmes informatiques.

En utilisant Zeus, les pirates collectent des données comme des identifiants et des mots de passe au moment même où ils sont entrés sur le navigateur web d’un terminal infecté. De plus, un criminel peut insérer des champs additionnels dans l’affichage d’un formulaire web sur un vrai site pour tromper l’utilisateur et l’inciter à fournir de nouvelles données couramment utilisées par les sites, comme un code PIN sur un site bancaire. Les pirates peuvent même, en temps réel, forcer le terminal à prendre une photo à distance de l’affichage de l’écran.

Toutes les données demandées par le pirate sont renvoyées par une commande et un tableau de contrôle, où elles peuvent être triées, faire l’objet de recherche, utilisées ou vendues. Les données collectées peuvent être utilisées pour des usurpations d’identité. Elles peuvent même être vendues à des concurrents ou utilisées pour nuire à la réputation d’une entreprise.

Détournement d’accès et commerce d’informations secrètes

De nombreuses applications d’entreprise et services dans le Cloud sont accessibles depuis le web. Les fournisseurs de plates-formes PaaS et de logiciels en mode SaaS sont exposés à ce type de risques et peuvent subir des pertes d’informations confidentielles appartenant aux clients, des vols de données ou de voir ternir leur réputation, ...

Les employés, clients et partenaires commerciaux peuvent sans le vouloir télécharger le logiciel malveillant Zeus sur l’ordinateur de l’entreprise et leurs terminaux personnels. Ensuite, lorsqu’ils se connectent sur le web à partir du terminal, ils peuvent sans le vouloir fournir des informations confidentielles à des acteurs malveillants. Avec autant de terminaux infectés, les pirates peuvent obtenir des données de connexion à des applications ou services basés sur le web et accéder à une mine d’informations collectée auprès d’un grand nombre d’utilisateurs pour cibler un site spécifique.

Un anti-virus peut ne pas détecter le logiciel malveillant Zeus

Zeus est utilisé, depuis de nombreuses années, pour lancer des logiciels malveillants et réunir des informations. Son « succès » est dû en large partie à son extrême rapidité. Les fichiers sont cachés, les contenus détournés, les pare-feux désactivés et les communications éventuellement déviées. Une société chargée du suivi de Zeus estime que le taux de détection de Zeus par anti-virus est de seulement 39,5 %. Même les terminaux équipés d’antivirus peuvent être infectés.

Recommandations aux entreprises pour la sécurisation de l’environnement réseau

« Zeus est insidieux, même au cœur des environnements les mieux sécurisés », remarque Stuart Scholly. « Les utilisateurs sont piégés en lançant des programmes qui infectent leur terminal. Aussi, un renforcement strict des politiques de sécurité et une information auprès des utilisateurs peuvent être utiles. Il est conseillé aux entreprises de développer un profil de sécurité rigoureux de leur site web, notamment avec un Web Application Firewall. Cette approche peut contrarier les schémas de communications de Zeus et contrer les pertes de données et les tentatives de scan des fichiers ».

Dans cet avis, PLXsert fait part de ses analyses et d’informations détaillées sur le système Zeus, notamment :

– Origines and variantes

– Comment fonctionne le kit

– Indicateurs de l’infection

– Processus d’infection

– Exécution de commande à distance

– Simulation en laboratoire montrant sa puissance et son niveau de menace

– Mesures préventives recommandées