Decouvrez de l'intérieur le malware appelé ZeuS Gootkit, qui comme son nom l'indique est dérivé du troyen ZeuS dont il a hérité des mécanismes de recherche et d'insertion, ce nouveau cheval de Troie qui s'attaque actuellement à des banques françaises.

Cette information s'adresse bien évidemment aux personnes responsables de la sécurité informatique dans les entreprises. Mais nous l'avons également retenue car le cabinet de conseil en SSI et cybersécurité Lexsi a réalisé un travail complet d'analyse (une autopsie) de la menace qui peut donner au néophyte une idée de la complexité de ce type d'attaque.

Ciblant des banques françaises, ZeuS Gootkit est un cheval de Troie sous Windows. Héritier du troyen ZeuS, il embarqué dans un boolkit (module furtif d'exécution de la payload ou charge utile de la donnée principale) de Cidox/Rovix, et développé en code Node.js et C++. Il est difficile à détecter puisqu'au démarrage il charge et exécute un driver en mémoire, sans écrire aucune payload ni aucun fichier sur le disque. Le fichier appelé est supprimé dès l'amorce du processus de redémarrage. Il permet de déployer un driver dans C:\Windows\System32\drivers\ScsiPassThrough.sys, ce qui lui permet de se lancer automatiquement au lancement d'un système Windows 7.

Ses principales caractéristiques sont :

  • Il infecte le code exécutable de la VBR (Volume Boot Record) de la partition NTFS de démarrage
  • Sa charge virale utile (payload) écrite en Node.JS et C++ ainsi que son fichier de configuration sont enregistrés de manière chiffrée dans la base de registre. Leur taille est respectivement de 5.4 Mo et 28 Ko.
  • Une injection de code malveillant est effectuée dans services.exe, csrss.exe, explorer.exe et les navigateurs Web
  • Il garantit la furtivité de la DLL injectée ainsi que l’infection de la VBR
  • Des communications sont effectuées via WSS (WebSocket).

Le fonctionnement des composants du malware

Lexsi a consacré une page de son blog lexsi-leblog.fr (cliquer ici), au décryptage de ZeuS Gootkit. Nous vous invitons à consulter cette page pour découvrir le malware dans la plupart de ses composants. Une démonstration accompagnée de nombreuses copies d'écrans.