Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Après Zeus, Citadel pourrait être la prochaine évolution majeure dans le domaine des malwares

février 2012 par CERT-XMCO

* Citadel - An Open-Source Malware Project

 Date : 09 Fevrier 2012

 Gravité : Moyenne

 Description :

Dans le monde des malwares et des cybercriminels, Zeus a fait beaucoup parler de lui. En effet, les développeurs de cette boite à outils ont permis à un très grand nombre de cyber-escrocs d’accéder, pour un prix relativement peu élevé, à des outils simples et efficaces leur permettant de générer un malware complexe, et de mettre en place l’infrastructure permettant de l’utiliser. Zeus a en effet probablement été l’un des premiers et des principaux exemples de "Software-as-a-Service" (SaaS) dans le domaine des malwares.

Cependant, dans une lutte avec son concurrent et challenger SpyEye, le développeur de Zeus, dont le malware était en perte de vitesse a fini par publier son code source. Même si cette hypothèse n’est pas réellement confirmée, les nombreuses rumeurs qui ont circulé au sujet de l’abandon de Zeus ou encore de sa fusion avec SpyEye semblent donc avoir mis un terme à ce projet.

Cependant, le travail réalisé par les développeurs de Zeus ne semble pas être perdu pour tout le monde. En effet, depuis la publication du code source du malware, d’autres cyber-pirates semblent chercher à en tirer parti. Le projet Citadel semble en effet reposer sur les fondations offertes par Zeus. Celui-ci semble actuellement être proposé sur des forums privés dédiés aux cyber-criminels. Le projet se veut ainsi être une alternative Open-Source aux relations "classiques" qui lie les pirates - clients - aux développeurs de malwares qui se font payer pour vendre un service sous forme de logiciel.

L’équipe en charge du projet Citadel propose ainsi aux cyber-pirates de se mettre en relation au travers d’une plateforme de réseau social permettant aux internautes de rapporter les problèmes rencontrés, de publier des rapports de bogues, de proposer des évolutions, et même de voter pour les meilleurs d’entre elles afin d’influer sur l’évolution du projet. D’un point de vue commercial, la plateforme mise en place ressemble à s’y méprendre à un CRM (Customer Relationship Management). Finalement, l’équipe en charge de Citadel semble donc avoir déplacé le coût du service de l’accès au code source de l’outil, vers le support offert pour l’utilisation de celui-ci.

D’après une étude menée par la société Seculert, il semblerait que le malware évolue relativement rapidement. Depuis le 17 décembre dernier, date à laquelle le malware semble avoir été détecté pour la première fois, cinq nouvelles versions auraient été publiées, et plus de 20 botnets reposants sur celles identifiées.

Parmi les fonctionnalités qui semblent avoir été ajoutées, figurent :

 la possibilité de remplacer le chiffrement RC4 des fichiers de configuration par de l’AES ;

 la possibilité d’échapper aux trackers de botnets et de bots (tels que Zeus Tracker) ;

 le blocage de l’accès des postes compromis aux sites des éditeurs de solutions antivirales ;

 ou encore la possibilité d’enregistrer automatiquement des vidéos au format MKV lorsqu’un événement survient, afin de capturer l’activité de l’utilisateur sur son bureau ou dans une fenêtre.

 Référence :

http://www.infoworld.com/d/security/citadel-banking-malware-evolving-and-spreading-rapidly-researchers-warn-186083

http://blog.seculert.com/2012/02/citadel-open-source-malware-project.html

http://krebsonsecurity.com/2012/01/citadel-trojan-touts-trouble-ticket-system/

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0206


Voir les articles précédents

    

Voir les articles suivants