mardi 14 juillet 2020    || Inscription
BanniereNews
 
 

Shylock, un trojan voleur d’informations bancaires assez répandu, utilise une nouvelle technique très évoluée pour échapper à la détection : rester invisible lorsqu'il est analysé via une connexion bureau à distance.

Shylock rejoint la liste des malwares qui accroissent leurs défenses pour se soustraire aux analyses de leurs fonctions par les chercheurs. Il utilise un nouveau mécanisme pour identifier un environnement de bureau à distance que les chercheurs utilisent régulièrement pour étudier les malwares. Lorsque cet environnement est détecté, une fonction du malware renvoie une certaine valeur qui entraîne la non-exécution de sa routine.

Shylock avait initialement été détecté en février 2011 par la firme de sécurité Trusteer. Son étude du malware indiquait que Shylock était une menace répandue mais peu connue puisqu’il est inactif tant que l’internaute ne se connecte pas à des sites bancaires ciblés. Les victimes se situent majoritairement en Europe et aux USA. Les attaques sont initiées par hameçonnage avec des e-mails et par drive-by download.

Shylock exploite la paresse des chercheurs en sécurité ?

Gael Frishman (de Trusteer) explique comment le malware Shylock profite de l’erreur humaine : « Les échantillons de malware sont en général rassemblés pour en tirer une analyse détaillée et souvent placés sur des machines isolées dans un labo. Mais les chercheurs utilisent les connexions de bureau à distance pour étudier les malwares sans quitter le confort de leur bureau. C’est la faiblesse humaine que Shylock exploite ».

Les auteurs des malwares savent que les antivirus utilisent des techniques automatisées afin de déterminer les capacités d’un malware. Vikram Thakur, manager de la sécurité chez Symantec, explique que « en investissant du temps dans le contournement de sandbox [machines virtuelles et bureaux à distance], les auteurs de malwares essaient de gagner du temps avant d’être détectés »

Ce genre de techniques mises en place par les auteurs de Shylock va certainement se développer et être de plus en plus utilisé par les créateurs de malwares dans un futur proche.




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143031
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI