Proteus, la nouvelle famille de malware dont il faut se méfier !

By | December 7, 2016

Proteus, la nouvelle famille de malware dont il faut se méfier !


Proteus est une nouvelle famille de malware capable de miner des crypto-monnaies, enregistrer les frappes de clavier, transformer des ordinateurs infectés en serveurs proxy et vérifier la validité de comptes volés online.

Détecté par des chercheurs en sécurité de Fortinet, cette nouvelle famille de malware est écrite en .Net. Plusieurs facteurs révèlent que l’infection de ce malware est liée au botnet Andromeda.

Andromeda est l’une des famille de malware qui existe depuis longtemps.
Ses méthodes principales de propagation sont des campagnes de spams avec des documents joints (pdf, zip), des sites de téléchargement illégal ou par des campagnes de phishing.

Sur son blog, Fortinet a expliqué minitieusement le déroulement de l’infection. Par l’intermédiaire du botnet Andromeda, Proteus arrive sur les machines infectées par l’intermédiaire d’un exécutable chrome.exe. Le malware s’installe dans le dossier AppData et entame immédiatemment une communication chiffrée avec son serveur de commande et de contrôle.
La version actuelle de Proteus peut réaliser les actions suivantes:
_ la création un socket et la mise en place d’une redirection de port pour relayer le trafic malicieux à travers la machine infectée qui agira désormais comme un proxy SOCKS,
_ la mise en place d’un keylogger,
_ le téléchargement d’un exécutable sur requête,
_ la vérification de la validité de comptes d’utilisateurs des services d’ecommerce tels que Ebay, Amazon, Spotify, Netflix, etc.
_ le déploiement des malwares mineurs de crypto-monnaies: SHA256 miner, CPUMiner, and ZcashMiner. Ces outils peuvent être utilisés pour miner des crypto-monnaies comme Bitcoin, Litecoin, Zcash .

Un scan sur virus total de Jiří Kropáč , analyste de malware chez AVG n’a donné que la note de 4/44.

Le chercheur en sécurité MalwareHunterTeam a mis en exergue la capacité du malware à vérifier la validité de comptes de ecommerce volés online.
Pour ce faire, le pirate derrière le serveur de contrôle fournit au botnet un nom d’utilisateur (ou email) et un mot de passe et le service. Le botnet Proteus se charge ensuite de vérifier la validité du compte fourni.

Source: BleepingComputer.com

Source: BleepingComputer.com

Voici la liste des services dont Proteus se charge de vérifier la validité de compte :

Source: BleepingComputer.com

Muni de ces informations, le pirate peut créer une base de données et la revendre plutard selon certains critères: pays, type de compte, code postal, etc.

mdestroy

Sources: BleepingComputer.com , Blog.Fortinet.com

Leave a Reply

Your email address will not be published. Required fields are marked *