SpyEye : L’activité du botnet est en pleine croissance

0

Fortinet a publié son rapport “Menace Paysage” de février 2011, qui détaille cinq vulnérabilités zero-day dans les produits Cisco (FGA-2011-03), Adobe (FGA-2011-06) et Microsoft (FGA-2011-04).

Microsoft a également publié un avis de sécurité zero-day au sujet d’une vulnérabilité de divulgation d’information avec Internet Explorer et MHTML, ce qui permet sous certaines conditions pour des attaquants d’injecter un script côté client dans la réponse d’une requête Web qui s’exécute dans le contexte d’Internet Explorer de la victime.

Le script pourrait usurper du contenu, divulguer des informations ou entreprendre toute action que l’utilisateur pourrait effectuer sur le site Web affecté au nom de l’utilisateur ciblé.

L’activité du botnet SpyEye en surtension

Le botnet SpyEye est entré pour la première fois dans le Top 10 Landscape Report’s Malware ce mois-ci, signalant une évolution possible des organisations criminelles dans le monde utilisant le botnet Zeus.

Historiquement, les développeurs de Zeus se sont efforcés d’éviter la détection et l’analyse de leurs fichiers de configuration.

L’an dernier, FortiGuard Labs a analysé un élément nouveau de Zeus, connu sous le nom Zitmo et a récemment noté que Zitmo.B a refait surface à la fois sur Symbian et sur Windows Mobile.

“Nous allons probablement voir une activité semblable avec le groupe SpyEye, tels que l’obscurcissement des routines de leurs données et des transmissions de commandement et de contrôle”, a déclaré Derek manky, stratège principal en sécurité chez Fortinet. “Les développeurs de SpyEye travaillent également à rendre leurs produits plus efficaces en termes de gestion et d’automatisation, ce qui est attesté par le nouveau système de transfert automatique du bot.”

Nouvelle carte de crédit phishing e-mail

Un nouvel email de phishing visant les cartes de crédit emploie la tactique de la peur en déclarant que le compte a été découvert. Dans l’exemple, il a été mis en évidence le lien à un domaine malveillant qui n’appartenait pas au vendeur de cartes – cependant, il affichait du contenu authentique à partir du site du fournisseur de la carte.

“Il faut toujours observer ces types de caractères avant de cliquer sur des liens”, a déclaré manky. “Dans ce cas, cliquez sur le lien direct amènerai la victime vers un site de redirection situé dans un centre de données à Bangkok. Ce site de redirection va alors rediriger l’utilisateur vers un serveur en Chine, qui a emprunté le contenu du site de cartes de crédit légitime en utilisant un proxy. Cette configuration man-in-the-middle a permis aux attaquants de facilement intercepter les informations de connexion en cours de route. “

Une fois que ces informations d’identification sont obtenues, il devient très facile pour les criminels de blanchir des fonds volés par des gens via des services de transfert d’argent anonymes et des passeurs d’argent.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.