Un faux message de la FDIC conduit à ZBot

La campagne de diffusion de malwares de cette semaine, basée sur une vague de spam de taille moyenne, utilise abusivement le nom de l 'agence gouvernementale indépendante et ses éléments d 'identification visuelle afin d 'escroquer les détenteurs de comptes affolés par la récession et de leur faire télécharger des exécutables dangereux pour leur ordinateur.
 

Le message non sollicité informe les détenteurs supposés d 'un compte bancaire garanti par la FDIC que l 'agence a déclaré la faillite de l 'institution financière où leurs comptes avaient été ouverts. Le message demande également aux destinataires de vérifier leur couverture d 'assurance-dépôts en cliquant sur un lien censé conduire au site Internet de la FDIC.

Le lien ne dirige pas les utilisateurs vers le portail de l 'agence, mais vers un site Internet (enregistré sur un domaine britannique) qui imite un compte d 'assurance en ligne, en utilisant plusieurs éléments d 'identification visuelle du véritable site de la FDIC (son logo et des éléments généraux de mise en forme).

La page propose des supposés documents Word et PDF que l 'utilisateur doit télécharger et remplir. Mais après avoir téléchargé les faux fichiers, les utilisateurs ne reçoivent pas les formulaires d 'assurance, mais deux exécutables ayant une charge utile malveillante, actuellement détectés par BitDefender sous le nom de Trojan.Zbot.DLO puisqu 'il s 'agit d 'une autre version du tristement célèbre ZBot.

Cet ancien cheval de Troie est encore très prolifique, comme l 'ont montré les dernières campagnes de diffusion de malwares qui exploitaient l 'identité de l 'IRS (l 'Administration fiscale américaine). Cette version a également des composants rootkit qui facilitent son installation en toute discrétion dans les répertoires Windows ou Program Files. Zbot injecte du code dans plusieurs processus et ajoute des exceptions au Pare-feu de Microsoft® Windows®, fournissant des capacités backdoor et serveur. Il transmet également des informations sensibles et écoute sur différents ports d 'éventuelles commandes d 'attaquants distants. Enfin, ZBot essaie de télécharger des fichiers à partir de serveurs ayant apparemment des noms de domaines russes.

Les dernières variantes sont aussi capables de dérober des informations bancaires, des données de connexion, l 'historique des sites Web consultés et d 'autres éléments que l 'utilisateur saisit, et réalisent également des captures d 'écran du bureau de la machine compromise.