Le cheval de Troie bancaire Zeus Sphinx est revenu d'entre les morts juste à temps pour la pandémie

Zeus Sphinx est officiellement de retour. Également connu sous le nom de Terdot, le cheval de Troie bancaire a gagné en infamie il y a quelques années lorsque ses opérateurs ont utilisé des méthodes de distribution intelligentes pour répandre les logiciels malveillants et voler les mots de passe des gens. À l'époque, les chercheurs en sécurité ont expliqué comment, en plus d'exfiltrer les données de connexion pour les institutions financières, les opérateurs de logiciels malveillants tentaient de détourner les comptes de médias sociaux des victimes et de les utiliser comme véhicule de propagation. À un moment donné, cependant, ils ont soudainement cessé de le distribuer. Maintenant, ils y sont revenus, et quand vous voyez comment cela fonctionne, vous pourriez vous demander pourquoi ils l'ont abandonné en premier lieu.

Zeus Sphinx n'a pas eu besoin d'une mise à jour majeure

La nouvelle vague d'infections à Zeus Sphinx a été repérée par des chercheurs d'IBM. Les premiers signes d'un retour ont été enregistrés en décembre, mais en mars, le nombre de victimes a considérablement augmenté. Les experts d'IBM ont disséqué l'un des échantillons interceptés et ont remarqué qu'il n'y avait pas vraiment de mises à jour majeures du fonctionnement du logiciel malveillant.

La campagne actuelle repose sur des documents Microsoft Office malveillants qui servent de téléchargeurs pour la charge utile. Le fichier contient des instructions de macro, qui créent un nouveau dossier sur le lecteur système du PC et y déposent un fichier de commandes. Un nouveau fichier VBS est créé qui utilise le processus WScript.exe pour établir une connexion au serveur Command & Control (C&C) et télécharger la charge utile sous la forme d'une DLL. Une fois déployé, Zeus Sphinx ajoute une nouvelle clé de registre pour établir la persistance et se met à voler les données financières des gens.

Comme son nom l'indique, Zeus Sphinx est basé sur Zeus - l'une des familles de logiciels malveillants les plus infâmes de ce type. Le cheval de Troie vole les noms d'utilisateur et les mots de passe à l'aide d'injections Web. Chaque fois qu'il détecte que l'utilisateur visite le site Web de sa banque, Zeus Sphinx injecte du code et envoie les informations d'identification et les codes d'authentification à deux facteurs aux escrocs. Le pire de cette technique est que l'utilisateur n'a aucun moyen de savoir que quelque chose ne va pas. Mais quelle est la probabilité qu'ils infectent leurs systèmes avec Zeus Sphinx en premier lieu?

Zeus Sphinx utilise la pandémie COVID-19 pour toucher plus de gens

Comme vous le savez probablement déjà, au cours des derniers mois, les cybercriminels ont utilisé diverses techniques d'ingénierie sociale pour exploiter la peur entourant la pandémie actuelle de coronavirus, et les personnes qui distribuent Zeus Sphinx ont décidé d'adopter une approche similaire.

Les documents Office malveillants arrivent au dos des courriels avec des sujets qui indiquent "Paiement COVID-19", et dans l'exemple qu'IBM nous a montré, le message indique que Justin Trudeau, le Premier ministre du Canada, a approuvé une récompense de 2 500 $ pour chacun. de ses compatriotes canadiens qui ont décidé de rester à la maison pendant la pandémie de coronavirus. Pour le réclamer, l'utilisateur doit ouvrir le document joint et le remplir.

Il ne devrait pas vraiment être une surprise que, comme tant d'autres gangs cybercriminels, les opérateurs de Zeus Sphinx tentent de miser sur la panique entourant COVID-19. Ce qui est un peu choquant, cependant, c'est qu'il y a encore des gens qui pourraient tomber amoureux de cette arnaque particulière.

Même si vous êtes convaincu que vous pouvez éviter ce schéma, il y en a beaucoup d'autres qui sont beaucoup plus crédibles. Assurez-vous de prendre tout ce que vous trouvez dans votre boîte de réception avec une pincée de sel, surtout s'il a été envoyé par quelqu'un que vous ne connaissez pas.