Zeus et les kits d’exploitation diffusés sur Internet

• ZeuS :

Depuis quelques jours, plusieurs kits d’exploitation célèbres ont été diffusés sur Internet. Après BlackHole et CrimePack, le code source du célèbre kit de malware ZeuS vient, lui aussi, de faire son apparition sur internet.
Pour rappel, ZeuS est un ensemble d’outils permettant de créer des chevaux de Troie personnalisés destinés à voler des données bancaires. Les versions premium incluent même un support technique ainsi que des fonctionnalités avancées, telles que la possibilité de contourner les authentifications fortes mises en place par certaines institutions bancaires.

Il y a quelques semaines avait été diffusée une archive RAR protégée par mot de passe contenant le code source du kit. De nombreuses personnes avaient d’ailleurs tenté de bruteforcer le mot de passe mais personne n’a reconnu publiquement l’avoir découvert…
Auparavant, ZeuS se vendait jusqu’à 10.000$ sur des forums spécialisés. Ce code étant maintenant accessible gratuitement sur internet.

Un rapide coup d’œil au contenu de l’archive permet de s’apercevoir que la version 2.8.0.9 du bot est développé en C/C++, alors que le serveur de contrôle repose sur PHP. Le développement de l’ensemble malware représente environ 65 000 lignes de code. Cette complexité apparente du code assure au moins d’une chose : celui-ci ne sera pas repris par des scripts kiddies en herbe voulant jouer avec… Surtout qu’en l’état la solution Visual Studio n’est pas compilable !

Avec la diffusion gratuite du code source de ZeuS, on peut légitimement penser que plus personne ne paiera plus pour l’obtenir, à moins que ses créateurs incluent des fonctionnalités encore plus évoluées et non disponibles dans la version actuellement divulguée sur Internet.

À noter qu’un manuel complet est également fourni avec le malware. Ce dernier présente aussi bien les différentes fonctionnalités offertes, les options et le fonctionnement. Ce fichier contient un historique précis des changements qui sont intervenus entre chaque version…

• Côté kits d’exploitation :

D’autres outils, généralement vendus pour plusieurs centaines d’euros, ont également été diffusés : Crimepack et Blackhole

Ces kits d’exploitation ne sont pas nouveaux et tirent parti des vulnérabilités plus ou moins récentes comme ces dernières issues de BlackHole :

• CVE-2010-1885 – HCP
• CVE-2010-1423 – Java argument injection vulnerability in the URI handler in Java NPAPI plugin
• CVE-2010-0886 – Java Unspecified vulnerability in the Java Deployment Toolkit component in Oracle Java SE
• CVE-2010-0842 – Java JRE MixerSequencer Invalid Array Index Remote Code Execution Vulnerability
• CVE-2010-0840 – Java trusted Methods Chaining Remote Code Execution Vulnerability
• CVE-2009-1671 – Java buffer overflows in the Deployment Toolkit ActiveX control in deploytk.dll
• CVE-2009-0927 – Adobe Reader Collab GetIcon
• CVE-2008-2992 – Adobe Reader util.printf
• CVE-2007-5659 – Adobe Reader CollectEmailInfo
• CVE-2006-0003 – IE MDAC

Nous reviendrons en détails sur ces kits dans le prochain numéro d’ActuSécu.