L’un des défis de la recherche sur les logiciels malveillants consiste à séparer les innovations véritablement novatrices en matière de malcodage des nouveaux éléments malveillants qui incluent simplement des ajustements nominaux ou superficiels. Cette dynamique s’applique à la fois aux chercheurs et aux fournisseurs de logiciels malveillants, bien que pour des raisons différentes. Les chercheurs souhaitent éviter d’être qualifiés d’alarmistes en attirant une attention particulière sur ce qui semble être une menace émergente qui s’avère être de vieilles nouvelles ; les méchants veulent juste éviter de se faire arnaquer en payant pour un ancien kit de logiciels malveillants déguisé en nouveau gros truc.

Source : RSA
Mardi, Sécurité RSA un peu essoufflé a annoncé qu’il avait repéré KINS, une variante du cheval de Troie ZeuS qui ressemblait à « un nouveau cheval de Troie bancaire de qualité professionnelle » susceptible d’émerger comme la « prochaine épiphanie de cheval de Troie » dans la cybercriminalité clandestine. RSA a déclaré que l’émergence de KINS était remarquable parce que le dérivé du cheval de Troie ZeuS régnant – le cheval de Troie Citadel – avait depuis longtemps été retiré du marché, et que les escrocs attendaient avec impatience le développement et la vente d’un nouveau kit de création de botnet basé sur la source ZeuS divulguée. code.
« Depuis décembre 2012lorsque le porte-parole de l’équipe Citadel a retiré le cheval de Troie du marché souterrain semi-ouvert, les cybercriminels se sont efforcés de trouver un remplaçant », a déclaré RSA. Limor Kessem a écrit. « Début février 2013, les chercheurs de la RSA sur les fraudes ont commencé à rechercher des indices sur un nouvel outil de crimeware appelé « KINS ». À l’époque, les informations sur le cheval de Troie n’étaient qu’une rumeur, mais dans des commentaires sporadiques, les fraudeurs associaient un cheval de Troie nommé KINS au code source de Citadel, recherchant son développeur afin de le contacter et d’acheter KINS. Les rumeurs ont rapidement été étouffées et les liens avec Citadel ont été niés, principalement dans ce qui semblait être un cas de fraudeurs craintifs qui ne voulaient pas se voir refuser la possibilité d’acheter le prochain cheval de Troie.
Mais selon Fox-IT, un groupe de recherche et de conseil en sécurité basé aux Pays-Bas, KINS est utilisé en privé depuis au moins décembre 2011 pour attaquer des institutions financières en Europe, en particulier en Allemagne et aux Pays-Bas. Fox-IT dit que KINS est l’abréviation de « Kasper Internet Non-Security », ce qui est probablement la recherche pas si subtile de l’auteur du malware sur la suite de sécurité proposée par le fabricant russe d’antivirus Kaspersky.

Source : Fox-IT
Dans sa propre analyse du logiciel malveillant cheval de Troie bancaire, Fox-IT a déclaré que KINS est entièrement basé sur le code source ZeuS divulgué et ne comprend que des ajouts mineurs. De plus, note Fox-IT, de nombreux utilisateurs de KINS ont déjà migré vers une autre variante de ZeuS, suggérant qu’ils n’étaient peut-être pas satisfaits du produit et qu’il n’a pas livré comme annoncé.
« Bien que les ajouts techniques soient intéressants, ils sont loin d’être révolutionnaires », a écrit Michel Sandée, expert principal en sécurité chez Fox-IT. «Avec un éventail de fonctionnalités assez standard et des ajouts relativement simples au ZeuS standard, tels que le signalement des informations sur les produits de sécurité installés, la plate-forme de logiciels malveillants n’apporte rien de vraiment nouveau. Il existe cependant certaines fonctionnalités de ce malware, qui ne visent pas la fonctionnalité de la personne qui l’utilise, mais visent à compliquer l’analyse des logiciels malveillants.
ANCIEN LOGICIEL MALVEILLANT, NOUVEAU TRAVAIL DE PEINTURE ?
Du point de vue des méchants, cette lutte interne autour de l’innovation en matière de logiciels malveillants est exposée dans une nouvelle offre de logiciels malveillants qui a fait surface aujourd’hui sur un forum semi-privé : le vendeur propose une version ressuscitée et modifiée du cheval de Troie DNSChanger, une contagion mondiale qui infectait autrefois des millions de PC. Le botnet DNSChanger, qui s’est accroché assez profondément aux systèmes infectés et s’est propagé à la fois aux ordinateurs Windows et Mac, n’a été éradiqué que par une mise en quarantaine numérique et un effort de vaccination concertés dans le monde entier, combinés à l’arrestation de ses créateurs.
Comme son nom l’indique, DNSChanger fonctionne en détournant les paramètres du serveur DNS (Domain Name System) sur un ordinateur ; ces paramètres pointent vers des serveurs Internet chargés de traduire les noms de domaine conviviaux comme example.com en adresses Internet numériques plus faciles à comprendre pour les ordinateurs. DNS Changer a échangé les paramètres de serveur DNS légitimes des victimes avec les adresses des serveurs DNS contrôlés par les créateurs du malware. Armés de ce contrôle, les accusés pourraient rediriger n’importe quelle partie de la session de navigation Web sur l’ordinateur d’un utilisateur infecté.
Le DNSChanger d’origine était utilisé pour mener des fraudes au clic et voler des revenus publicitaires. Cette nouvelle version, baptisée Tendance DNSChanger Bot, détourne également les paramètres DNS de la machine hôte, mais dans le but d’extraire un paiement de ransomware de la victime. Le ransomware verrouille le PC de la victime jusqu’à ce qu’il paie la rançon ou trouve un moyen de supprimer le malware. Les victimes sont invitées à payer la rançon en achetant des MoneyPak, PaySafe ou Ukash cartes, vendues à tout de Walgreens pour Wal-Mart. Les victimes sont ensuite invitées à envoyer aux attaquants un code de bon à 14 chiffres qui permet aux méchants d’échanger ces bons contre de l’argent.
L’auteur de Trend DNSChanger Bot affirme que son logiciel malveillant inclut le meilleur de son prédécesseur – y compris un puissant rootkit conçu pour rendre le code difficile à détecter et à supprimer – ainsi que le blocage de tout trafic Internet entre la machine hôte et les fournisseurs d’antivirus et de sécurité. La torsion, selon l’auteur, est dans la façon dont il cherche à monétiser les PC piratés.
Les ransomwares sont le plus souvent distribués via des sites piratés ou malveillants qui exploitent les vulnérabilités des navigateurs. Généralement, ces escroqueries se font passer pour le département de la Sécurité intérieure ou la FBI (ou l’autorité d’enquête fédérale équivalente dans le pays de la victime) et essayer d’effrayer les gens pour qu’ils paient des amendes afin d’éviter des poursuites pour avoir soi-disant téléchargé de la pédopornographie et du contenu piraté.
Le fabricant du bot Trend DNSChanger affirme que son logiciel malveillant invoquera la messagerie du propre fournisseur de services Internet de la victime, avertissant d’une activité illicite et exigeant des amendes pour les infractions présumées aux conditions de service du FAI.
« Nous avons fait en sorte qu’il verrouille le [victim’s browser] afficher une page [that mimics] grands et moyens FAI dans chaque pays dans lequel vous travaillez. Imaginez un utilisateur… voyant un message indiquant que son ordinateur est verrouillé, avec les logos de son fournisseur d’accès Internet, le nom du fournisseur et la ville dans laquelle [the victim] des vies. D’après nos tests, c’est très effrayant et ça les fait payer.
Il n’est pas clair si cette prétendue nouvelle version de DNSChanger sera adoptée par l’underground, ou s’approchera jamais d’infliger les dommages causés par son prédécesseur. Pour l’instant, la communauté underground semble intéressée mais sceptique. Plusieurs membres du forum de fraude où ce malware est vendu disent qu’il ressemble fortement à un projet annoncé en grande pompe en 2012, avant d’être abandonné par son auteur.
Fait intéressant, l’auteur de ce clone parvenu de DNSChanger dit qu’il faisait partie de l’équipe qui a codé le logiciel malveillant DNSChanger d’origine, mais admet que ses innovations sont essentiellement incrémentales et que des parties de son logiciel malveillant sont apparues pour la première fois dans le cheval de Troie KINS mentionné ci-dessus. « En fait, nous ne sommes pas les premiers à proposer cette technologie », a écrit l’auteur du malware « Trend ». « Il a été utilisé pour la première fois dans le cheval de Troie KINS. Notre équipe a travaillé sur DNSChanger, connu dans le monde entier. Mais ce projet n’est que la version officielle parue en 2007. La technologie elle-même n’est donc pas nouvelle.