Depuis le début du mois d’octobre, de nombreuses attaques de Phishing sont menées par un ou plusieurs groupes de pirates. Dans un premier temps, ces attaques étaient simples et facilement identifiables, elles deviennent désormais de plus en plus sophistiquées et donc dangereuses pour les entreprises comme pour les particuliers.
Ces pirates tentent actuellement de développer un botnet nommé « Zeus », en lançant massivement ces emails de Phishing. Revenons au début du mois, où des milliers d’emails ont été envoyés sur Internet.L’email ressemble ici à tous les SPAM classiques : un virus attaché en pièce jointe ( « install.zip »). Ce fichier est un malware plus connu sous le nom de « Zeus », un malware de type « banker », c’est-à-dire capable de voler les identifiants des sites bancaires visités par ses victimes. Quelques jours, plus tard, d’autres emails du même type sont envoyés. Cette fois-ci, un lien est inséré au sein du corps de l’email. Ce lien renvoie vers un site aux allures d’une webmail Outlook Web Access qui propose de télécharger une mise à jour Outlook.
L’attaque utilise des caractéristiques précises de sa victime (ici notre nom de domaine xmcopartners.com) en ajoutant un suffixe exotique .vvorip.co.uk. Il est intéressant de noter que n’importe quel nom devant le domaine vvorip.co.uk redirige vers le même site. On notera l’effort particulier des pirates qui insèrent dans la page web malicieuse le nom de l’entreprise victime. Enfin, la dernière attaque en date est de plus en plus professionnelle.
Le nouvel email utilisé est envoyé à partir de l’adresse « noreply@microsoft.com » (Microsoft Update Center comme expéditeur) et propose également une mise à jour du logiciel Outlook.
La qualité de l’email est remarquable, des couleurs jusqu’au nom de domaine, aucun élément n’est choisi au hasard afin d’éviter la suspicion des futures victimes.
Un lien pointe vers le nom de domaine « http://update.microsoft.com.okkkikkl.eu » toujours aux allures du véritable site de Microsoft.
L’exécutable proposé (Officexp-KB910737-FullFile-ENU.exe) est toujours une variante du malware « Zbot » qui permet de voler les mots de passe des victimes. Ce dernier est détecté à 25% par les antivirus du marché (référence Virustotal).
Avec cette capacité à personnaliser et à produire des emails de phishing aussi bien ficelés, il est certain de le botnet Zeus va faire parler de lui d’ici plusieurs semaines. Un tel botnet pourrait servir à lancer des attaques massives de type DDoS et à voler des mots de passe (banques, ebay…).
auteur : Adrien Guinault
Source GlobalSecurityMag.fr