La campagne de spam du botnet Cutwail est liée à Zeus

Les chercheurs de l’unité SecurWorks Counter Threat de Dell ont découvert les pourriels émis par le botnet Cutwail et qui visent à induire en erreur les internautes visés pour leur faire télécharger le cheval de Troie Zeus. Les spams en question sont conçus pour ressembler à ceux envoyés par les principales banques américaines, notamment; ils font état qu'un message personnel chiffré est à disposition.

Pour ce faire, le message encoure sa cible à télécharger un nouveau logiciel soi-disant conçu pour protéger ses données personnelles. En vérité, il télécharge le logiciel Pony qui se charge d’installer le logiciel malveillant. «Le botnet Cutwail se contente d’environ 10 000 bots par campagne pour envoyer des centaines de millions de messages malicieux aux internautes du monde entier », explique Elizabeth W. Clarke, porte-parole de Dell SecureWorks.

Jusqu’ici, les chercheurs ont détecté plusieurs variantes des pourriels, tous encourageant les victimes à lire un message, écouter un message vocal, ou à s’enregistrer pour un nouveau système de protection de la vie privée. Dell SecureWorks explique que les salariés des entreprises devraient être formés à ne jamais cliquer sur un lien ou une pièce jointe dans un courriel, y compris lorsqu’ils en connaissent l’émetteur. «Vérifiez systématiquement que l’émetteur prétendu a bien expédié le message », souligne Clarke, recommandant en outre de «mettre à jour les règles d’IPS/IDS et de pare-feu pour détecter les plus récentes menaces ».

Le cheval de Troie Zeus a constitué un sérieux défi pour les banques et les institutions financières, en raison notamment de multiples variantes infectant les ordinateurs personnels de leurs clients. De nouvelles variantes de Zeus sont régulièrement détectées par les chercheurs. Le problème est devenu tel que Microsoft a lancé des poursuites en justice pour déconnecter certains botnets utilisés par Zeus. Malgré quelques victoires, les cybercriminels continuent de rétablir leurs opérations. Dell SecureWorks explique que le botnet Zeus Gameover est un botnet en pair-à-pair et l’un des plus vastes à ce jour, avec 678 000 membres.

Contrairement aux autres botnets Zeus, qui s’appuient sur un serveur de contrôle et commande centralisé, les botnet en pair-à-pair s’avèrent difficiles à faire tomber. Cela a été la bête noire de nombreuses entreprises : on en a détecté sur des systèmes corporate, universitaires, ceux de sous-traitants de la Défense ou encore d’agences gouvernementales.

Les maîtres du botnet Zeus Gameover sont considérés comme les plus agressifs, infectant des machines et recrutant des mules pour vider des comptes bancaires aux Etats-Unis et en Europe. Le gang utilise un grand nombre d’outils, dont le toolkit d’exploit BlackHole, un toolkit automatisé considéré comme la source de nombre des attaques motivées par l’argent, et DirtJumper, utilisé pour lancer des attaques en DDoS sur les institutions financières lors du siphonnage de comptes clients.