Shylock : Un malware bancaire indétectable menace vos finances

0
88

Shylock est un malware financier découvert par Trusteer en 2011, n’ayant aucun lien avec le célèbre Zeus. Récemment, la souche s’est améliorée et rendue indétectable et permet le vol d’informations bancaires comme les trojans bancaires les plus connus.

Le malware s’est en effet amélioré sur plusieurs points, par exemple pour injecter du code efficacement dans les processus d’une machine ou encore pour prendre le contrôle d’un ordinateur. Il s’est aussi doté d’une meilleure technique d’évasion afin d’empêcher les logiciels de sécurité de détecter sa présence sur un système.

Shylock (nom inspiré de Shakespeare), supprime également ses fichiers d’installation et ne fonctionne uniquement en mémoire et démarre automatiquement le processus malveillant à chaque fois que la machine infectée redémarre.

Maintenant, Shylock s’est équipé d’un nouveau “truc” efficace : il a la capacité de détecter s’il est exécuté dans une machine virtuelle (VM), ce qui est perçu comme une tentative d’analyse par des chercheurs en sécurité. Dans ce cas, il refuse de démarrer.

Les dernières souches de Shylock sont capables de détecter un environnement de bureau à distance. Il différencie les ordinateurs de bureau normaux aux réseaux étendus, pouvant être assimilés à des “environnements de laboratoires”, sur lesquels il refusera de se lancer. Idem lorsqu’il est exécuté à partir d’une session de bureau à distance, ce dernier ne sera pas installé. Il utilise donc une méthode fiable et redoutable pour détecter la présence d’environnements virtuels ou de sandbox.

Cependant, impossible de dire combien de temps ce dernier va échapper à la détection. D’après les chercheurs, les tactiques d’évasion ne sont pas réellement très efficaces. De plus, des chercheurs ont constatés qu’aucun des logiciels malveillants du Top 20 mondial ne tente de détecter les machines virtuelles, à l’exception du ver Conficker.