Zeus (cheval de Troie)

Zeus est un cheval de Troie destiné à voler des informations bancaires par récupération de formulaire, keylogger et attaques en man-in-the-browser. Le virus se transmet par simple visite sur un site infecté via un «exploit». Identifié pour la première fois en juillet 2007 alors qu'il est utilisé pour voler des informations au département des Transports des États-Unis[1], il devient très répandu en mars 2009. En juin 2009, la société de sécurité informatique Prevx découvre que Zeus a compromis au moins 74 000 comptes FTP sur des sites de grandes compagnies, incluant Bank of America, NASA, Monster.com, ABC, Oracle, Play.com, Cisco, Amazon, et BusinessWeek[2].

Zeus

Informations
Type	Botnet Logiciel malveillant Rootkit

En 2009, les multiples botnets de Zeus sont estimés à plusieurs millions d'ordinateurs compromis (environ 3,6 millions aux États-Unis[3]). Le 28 octobre 2009, 1,5 million de messages d'hameçonnage (phishing) sont envoyés sur Facebook dans le but de transmettre Zeus. Le 3 novembre 2009, un couple est arrêté pour utiliser sciemment Zeus afin de voler des données personnelles. Les 14 et 15 novembre 2009, Zeus est transmis par des e-mails prétendant venir de l'entreprise de télécommunications Verizon Wireless. Un total de 9 millions d'e-mails ont été envoyés[4].

Différentes attaques sont signalées en 2010[5] - [6], parmi lesquelles, celle révélée par l'entreprise de sécurité Trusteer, indiquant que les cartes de crédit de 15 banques américaines (les noms de ces banques n'ont pas été dévoilés) sont compromises[7].

Le 1^er octobre 2010, le FBI annonce avoir démantelé un réseau majeur du cyber-crime international qui a utilisé Zeus pour s'introduire dans des ordinateurs américains et voler environ 70 millions de dollars[8]. Plus de 90 personnes suspectées d'appartenir au réseau sont arrêtés aux États-Unis mais aussi au Royaume-Uni et en Ukraine.

En mai 2011, le code source de la version alors en vigueur de Zeus est divulgué et, en octobre, le blog abuse.ch fait part d'une nouvelle version du cheval de Troie s'appuyant sur des capacités de peer-to-peer complexes[9].

Prolifération

Le cheval de Troie Zeus est présent dans 196 pays, parmi lesquels certains sont isolés comme la Corée du Nord. Les 5 pays les plus touchés (en nombre de machines infectées) sont l'Égypte, les États-Unis, le Mexique, l'Arabie saoudite et la Turquie. En tout, 2 411 entreprises et organisations ont déclaré avoir subi des opérations criminelles dues à un botnet de Zeus.

Système d'exploitation visé

Zeus cible les ordinateurs sous Windows. Il ne peut marcher sous Mac OS et Linux. En 2012, des chercheurs du laboratoire Kaspersky ont découvert cinq nouvelles variantes de Zeus infectant les téléphones BlackBerry et ceux utilisant Android.

Informations compromises

Les pirates peuvent modifier le logiciel afin de voler seulement les informations qui les intéressent, comme des login de comptes de réseaux sociaux, de comptes mails, de comptes bancaires en lignes. D'après un rapport de la société Netwitness, les sites les plus touchés par ces vols de login sont Facebook, Yahoo!, Hi5, Metroflog, Sonico et Netlog.

Détection et retrait

Zeus est furtif, il est très difficilement détectable même avec un antivirus à jour. C'est la principale raison pour laquelle cette famille de malware a le plus grand botnet d'internet : rien qu'aux États-Unis, 3,6 millions d'ordinateurs sont infectés.

Réaction du FBI

En octobre 2010, le FBI annonce qu'en utilisant Zeus, les pirates informatiques originaires d'Europe de l'Est avaient réussi à infecter de nombreux ordinateurs dans le monde. Le virus est dissimulé par e-mail, et lorsque les individus ou organisations visés ouvraient ces courriels, le logiciel malveillant s'installait sans confirmation sur l'ordinateur, volant secrètement les mots de passe, numéros et autres données bancaires.

Plus d'une centaine d'individus ont été arrêtés pour fraudes bancaires et blanchiment d'argent. 90 d'entre eux résidaient aux États-Unis et les autres étaient originaires du Royaume-Uni et d'Ukraine[10].

Avant leur arrestation, les membres de cette organisation ont réussi à voler 70 millions de dollars.

Disparition

À la fin de l'année 2010, plusieurs vendeurs en sécurité internet comme McAfee et frInternet Identity (en) affirment que le créateur de Zeus a dit avoir pris sa retraite et donné le code source de Zeus ainsi que les droits de vente à son plus grand concurrent, le créateur du cheval de Troie SpyEye. Néanmoins, les mêmes experts se méfient, ils pensent que cette retraite est une ruse et que le pirate va revenir avec de nouvelles astuces[11].

Le 13 mai 2011, les codes source et fichiers binaires compilés sont retrouvés sur l'hébergeur GitHub[12].

Le 23 octobre 2022, l'ukrainien Vyacheslav Igorevich Penchukov est arrêté à Génève par la police fédérale suisse. Penchukov est soupçonné d'avoir volé et extorqué des millions de dollars en utilisant le malware Zeus. Le minist-re de la justice américain a demandé l'extradition de Penchukov[13].

Notes et références

(en) Jim Finkle, « Hackers steal U.S. government, corporate data from PCs », Reuters, 2007 (consulté le 17 novembre 2009).
(en) Steve Ragan, « ZBot data dump discovered with over 74,000 FTP credentials », The Tech Herald, 2009 (consulté le 17 novembre 2009).
(en) « UAB computer forensics links internet postcards to virus », The Hindu, 2009 (consulté le 17 novembre 2009).
(en) « New Verizon Wireless-themed Zeus campaign hits », SC Magazine, 2009 (consulté le 17 novembre 2009).
(en) Dan Goodin, « Almost 2,500 firms breached in ongoing hack attack », The Register, 2010 (consulté le 23 février 2010).
(en) Siobhan Gorman, « Broad New Hacking Attack Detected », Wall Street Journal, 2010 (consulté le 23 février 2010).
(en) Raju PP, « Zeus/Zbot Trojan Attacks Credit Cards of 15 US Banks », TechPP, 2010 (consulté le 15 juillet 2010).
(en) FBI, « Cyber Banking Fraud Global Partnerships Lead to Major Arrests », 2010 (consulté le 28 janvier 2011).
(en) Peter Kruse, « Complete ZeuS sourcecode has been leaked to the masses », 2011 (consulté le 15 mai 2011).
(en) BBC, « More than 100 arrests, as FBI uncovers cyber crime ring », BBC News, 2010 (consulté le 2 octobre 2010).
(en) Diane Bartz, « Top hacker "retires"; experts brace for his return », Reuters,‎ 29 octobre 2010 (lire en ligne, consulté le 16 décembre 2010).
(en) Visgean/Zeus.
(en) Sergiu Gatlan, « Suspected Zeus cybercrime ring leader ‘Tank’ arrested by Swiss police », Bleeping Computer, 16 novembre 2022 (consulté le 19 novembre 2022)

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Zeus (Trojan horse) » (voir la liste des auteurs).

Voir aussi

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.