Pour gérer vos consentements :
Categories: MalwaresSécurité

Avec Proteus, le malware tout-en-un débarque

Imaginer un malware capable de transformer les ordinateurs en serveur proxy, de miner différentes monnaies virtuelles, d’enregistrer les frappes au clavier et de vérifier la validité des comptes victimes d’un vol de données. Et bien cela existe. Les experts de Fortinet ont déniché ce couteau suisse du logiciel malveillant.

Baptisé Proteus, le malware est écrit en .Net et se diffuse à travers le botnet Andromeda. Les spécialistes de Fortinet constatent que ce malware peut éliminer d’autres logiciels malveillants  sur les PC compromis. Tout comme Andromeda, il communique via un chiffrement symétrique avec des serveurs C&C pour contrôler les actions du malware sur les PC. De plus, il est capable d’ajouter des modules additionnels, les télécharger et les exécuter à la demande. Proteus s’épanouit dans le minage de crypto-monnaies. Il supporte les outils, HA256 miner, CPUMiner et ZCashMiner utilisés pour les monnaies virtuelles comme Bitcoin, Litecoin, Zcash.

Un vérificateur de comptes e-commerce piratés

Pour les spécialistes de la sécurité, la grande spécificité de Proteus réside dans sa capacité à vérifier la validité des comptes volés sur certains sites. Dans les cas présent, le code source du malware a montré que la vérification est réclamée par le serveur de C&C qui fournit des identifiants et des mots de passe. Le PC infecté va donc envoyer une requête sur certains sites de e-commerce comme Amazon, eBay, Spotify, Netflix et plusieurs sites allemands.

« Si le compte est vérifié, la prochaine requête est appelée 3 minutes après, si la réponse est négative, une nouvelle requête est faite 1 minute plus tard », explique l’équipe de chercheurs en sécurité MalwareHunter à nos confrères de Bleeping Computer. Une fois les compte vérifiés, un autre code permet d’extraire les données personnelles (nom, prénom, adresse, code postale, pays, avis, notation, etc). A partir d’un jeu de données disponible sur les forums underground, les cybercriminels peuvent ainsi se construire une base de données qualifiés et plus rentables à revendre (en fonction du pays, du statut, des comptes entreprises, etc) et plus facile à pirater.

A lire aussi :

NoPen, un malware du groupe Equation pour les systèmes Unix

Un nouveau malware téléchargé toutes les 4 secondes

Photo credit: portalgda via VisualHunt / CC BY-NC-SA

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

12 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

13 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

16 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

20 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

22 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago