Gameover : l’un des logiciels malveillants les plus sophistiqués
Ce logiciel malveillant dérivé de Zeus ne se contente pas de communiquer de manière décentralisée en pair-à-pair. Très élaboré, il sécurise des connexions chiffrées dans son processus de distribution.
C’est dans un billet de blog que les équipes de la division sécurité de Dell, SecureWorks, dissèquent le processus de distribution de Gameover, un logiciel malveillant dérivé de Zeus et communiquant de pair-à-pair, «l’un des botnets impliqués dans la fraude à la banque en ligne les plus vastes et les plus sophistiqués.» Loin d’être isolés, ceux qui contrôlent Gameover travaillent en partenariat avec leurs homologues de Cutwail pour le phishing et avec ceux de Pony Loader pour dérober des identifiants d’accès aux services en ligne. Mais la distribution de Gameover passe aussi par un nouvel outil de téléchargement appelé Upatre : «léger et extrêmement simple, il n’exécute qu’une seule fonction. Il télécharge et exécute un fichier à partir d’une URL codée en dur sur un lien SSL chiffré à partir d’un site Web compromis, avant de quitter.»
Les équipes de Dell SecureWorks présentent une liste d’une dizaine de sites Web compromis et utilisés dans la distribution de Gameover. Mais ils relèvent surtout que cette nouvelle approche de distribution «complique la détection sur le réseau à partir de signatures» et qu’elle commande de «déployer une stratégie de défense en profondeur.» Et d’en détailler les composantes : sensibilisation des employés, filtrage des pièces jointes, analyse en ligne des pièces jointes et des téléchargements, protection des postes de travail pour limiter le risque de contamination à l’ouverture de pièces jointes, analyse de traces pour identifier les anomalies, et bien sûr application régulière des mises à jour logicielles.