Une attaque iFrame sur les serveurs Linux a été repérée, cette fois-ci pour tenter d'infecter ses victimes avec Zeus (ou Zbot), un malware spécialisé dans le vol d'informations bancaires, a révélé l'éditeur d'anti-virus Eset.

L'attaque Linux/Chapro.A a utilisé Apache 64-bit comme un conduit, ce qui n'est pas sans rappeler l'attaque rootkit « Snasko », découverte au cours du mois dernier, mais qui n'a apparemment pas de lien avec celle-ci.

Visant les clients des banques russes et européennes, Chapro injecte du contenu malveillant dans des pages web, en ciblant les utilisateurs de Windows vulnérables à l'une des nombreuses failles connues dans Java, IE et Adobe en utilisant le pack exploitant les failles « Sweet Orange » hébergé sur un serveur distant.

Se cacher des administrateurs

L'attaque se répand avant de récolter les codes de vérification des cartes bancaires. Une autre tâche consiste à se cacher des administrateurs aussi longtemps que possible, à poser un cookie et à enregistrer l'adresse IP de la machine infectée. Cela signifie que le PC ne sera pas contaminé à plusieurs reprises, ce qui rend difficile la détection de l'infection des données par les chercheurs.

« L'attaque décrite dans la présente analyse montre la complexité croissante des attaques de logiciels malveillants », a déclaré Pierre-Marc Bureau, chercheur à l'Eset. « Ce cas complexe s'étend sur trois pays différents, ciblant un quart des utilisateurs, d'où la difficulté pour la justice d'enquêter et d'en atténuer les effets.»

Par rapport à Snasko, la nouvelle attaque est plus menaçante. Elle ressemble à un système d'attaque entièrement fonctionnel, bien qu'Eset ait déclaré n'avoir pas détecté de nombreux exemples de ce type.