Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Qu'est-ce que le malware cheval de Troie Zeus (Zbot) ?
Cybersecurity 101/Cybersécurité/Malware cheval de Troie Zeus

Qu'est-ce que le malware cheval de Troie Zeus (Zbot) ?

Le malware cheval de Troie Zeus intercepte les identifiants bancaires avant qu'ils ne soient protégés par le chiffrement. Ce guide explique le fonctionnement du malware Zeus, ses composants principaux et les stratégies de détection. Vous découvrirez les attaques de type man-in-the-browser, les techniques d'injection en mémoire et comment créer des règles de détection pour les menaces dérivées de Zeus ciblant votre entreprise.

CS-101_Cybersecurity.svg
Sommaire
Qu'est-ce que le malware Zeus Trojan ?
Ce qui distingue le cheval de Troie Zeus des autres malwares
Variantes du cheval de Troie Zeus et famille de malwares
Lien entre le cheval de Troie Zeus et la cybersécurité
Impact du malware Zeus sur les organisations
Comment fonctionne le cheval de Troie Zeus
Composants principaux du malware Zeus
Fonctionnalités clés du malware Zeus
Comment le cheval de Troie Zeus se propage
Indicateurs de compromission (IOC) pour les infections Zbot
Comment détecter le cheval de Troie Zeus
Comment supprimer le malware Zeus des systèmes
Bonnes pratiques pour prévenir les attaques du cheval de Troie Zeus
Stoppez les menaces Zeus Trojan avec SentinelOne
Points clés à retenir

Articles similaires

  • Qu'est-ce que la session fixation ? Comment les attaquants détournent les sessions utilisateur
  • Hacker éthique : méthodes, outils et guide de carrière
  • Qu’est-ce qu’une attaque adversariale ? Menaces et défenses
  • Cybersécurité dans le secteur public : risques, bonnes pratiques et cadres de référence
Auteur: SentinelOne
Mis à jour: January 5, 2026

Qu'est-ce que le malware Zeus Trojan ?

Lorsque vous saisissez votre mot de passe bancaire sur ce qui semble être un site légitime, Zeus capture ces données directement depuis votre navigateur au niveau de la couche applicative, avant que la protection SSL/TLS ne les chiffre pour la transmission au serveur. Zeus a établi l’architecture fondamentale de la cybercriminalité financière en tant que cheval de Troie bancaire interceptant les identifiants au niveau du navigateur avant le chiffrement. Selon le Département de la Justice des États-Unis, les opérations Zeus ont dérobé 3 millions de dollars à un seul groupe cybercriminel à travers les affaires poursuivies.

Le malware est apparu en 2007 et a posé les bases que les chevaux de Troie bancaires modernes utilisent encore aujourd’hui. Le FBI a documenté que GameOver Zeus à lui seul a infecté 3,6 millions de PC aux États-Unis d’ici 2009, avant que les forces de l’ordre ne perturbent le botnet en 2014. Bien que Zeus ne figure pas dans le rapport CIS Top 10 Malware Q1 2025, son ADN technique subsiste dans les menaces actuelles. Vous faites face à des chevaux de Troie bancaires dérivés de Zeus qui ont adopté son architecture pionnière de type man-in-the-browser et modulaire.

Zeus Malware - Featured Image | SentinelOne

Ce qui distingue le cheval de Troie Zeus des autres malwares

Zeus a été le précurseur des attaques man-in-the-browser (MitB) qui interceptent les données à la couche applicative. Là où les keyloggers se contentent d’enregistrer les frappes clavier, Zeus modifie le trafic web en temps réel. Lorsque vous chargez le site de votre banque, Zeus injecte du code malveillant directement dans la page avant que vous ne la voyiez. L’interface semble identique au site légitime car il s’agit bien du site légitime, avec le code de Zeus superposé de manière invisible.

Lorsque Zeus opère sur votre système, il intercepte et capture les données des formulaires depuis votre navigateur avant le chiffrement. Votre certificat SSL apparaît vert et valide, et la connexion chiffrée reste sécurisée. Cependant, Zeus récolte chaque identifiant que vous saisissez à la couche applicative, sur votre système compromis, avant que le navigateur ne commence le chiffrement.

Variantes du cheval de Troie Zeus et famille de malwares

Vous faites face à plusieurs générations de chevaux de Troie bancaires issus de Zeus.

Première génération (2007-2011) :

  • Zeus (2007) : Mise en place de l’architecture MitB et de la capture de formulaires
  • GameOver Zeus (2011) : CISA confirme que la variante P2P a éliminé les serveurs C2 centralisés, rendant les démantèlements nettement plus difficiles
  • Citadel (2011) : Apparu comme le cheval de Troie bancaire « open-source » pour la personnalisation criminelle
  • Zeus Mobile (Zitmo) : Extension aux plateformes mobiles pour la capture des codes d’authentification à deux facteurs

Successeurs (2014-2016) :

  • Dridex (2014) : Distribué via des campagnes de spam
  • Dyre (2014) : Capacité de contournement HTTPS
  • Trickbot (2016) : Variante de Dyre avec configurations en ligne et architecture modulaire

Selon le rapport Netskope Cloud and Threat 2025, des dérivés de Zeus comme Zusy (TinyBanker) restent actifs, continuant de cibler les identifiants bancaires via des techniques d’injection de code initiées par Zeus.

Lien entre le cheval de Troie Zeus et la cybersécurité

La détection basée sur les signatures peine à contrer Zeus car les techniques d’évasion du malware, dont le chiffrement polymorphe de la version 1.4 qui rend chaque infection unique, rendent les signatures antivirus traditionnelles insuffisantes. Les équipes de sécurité doivent mettre en œuvre la détection par IA comportementale et des stratégies de défense en profondeur pour contrer les menaces évolutives.

Comprendre ces implications en cybersécurité vous aide à bâtir des défenses, mais quantifier les dommages organisationnels révèle pourquoi les menaces issues de Zeus doivent être une priorité.

Impact du malware Zeus sur les organisations

Lorsque Zeus compromet votre organisation, vous subissez des impacts en cascade au-delà de l’infection initiale. Le malware vole les identifiants bancaires via des attaques man-in-the-browser, récolte les identifiants de messagerie professionnelle permettant le compromission de la messagerie d’entreprise, et capture les identifiants VPN. Selon l’analyse technique d’IOActive, Zeus crée des fichiers cachés dans \windows\system32\lowsec\ avec des exécutables chiffrés qui échappent à la détection.

Vos coûts de réponse à incident se multiplient. Selon l’Office of the Comptroller of the Currency, les institutions financières doivent notifier rapidement les incidents informatiques majeurs aux régulateurs bancaires fédéraux.

Le vol d’identifiants crée un problème de compromission d’identité qui perdure après l’infection. Selon les recommandations de réponse à incident de SpyCloud, supprimer le malware ne suffit pas : les identifiants volés restent actifs pour l’attaquant, permettant le déploiement de  ransomware ou un accès persistant des semaines après la détection et la suppression.

Pour se défendre efficacement contre ces impacts, il est essentiel de comprendre précisément comment Zeus exécute sa chaîne d’attaque, de l’infection initiale à l’exfiltration des identifiants.

Comment fonctionne le cheval de Troie Zeus

Zeus atteint vos endpoints via des kits d’exploitation diffusant des téléchargements furtifs, des campagnes de phishing avec pièces jointes malveillantes, et des sites légitimes compromis distribuant des malwares. Une fois l’exécution lancée, Cisco Talos Intelligence documente un schéma d’escalade rapide.

Chronologie post-infection :

  • Millisecondes : Requête HTTP GET vers le serveur C2
  • Millisecondes à secondes : Téléchargement du blob de configuration binaire (réponse C2)
  • Secondes : Déploiement du fichier de configuration sur le système
  • Secondes : Enregistrement du malware via des requêtes HTTP POST jumelées
  • Continu : Collecte d’identifiants via keylogging, capture de formulaires, injection web

Le dropper décompresse le bot principal Zeus en mémoire à l’emplacement 0x00b70000 avec la protection PAGE_EXECUTE_READWRITE. Le bot principal établit la persistance dans le répertoire système Windows, créant des fichiers cachés pour le stockage des frappes clavier, les données de configuration et l’exécutable chiffré du bot. Selon l’analyse technique d’IOActive, Zeus accroche la fonction API NtQueryDirectoryFile pour masquer les fichiers sur le disque lors de l’inspection du système de fichiers.

Cette progression rapide de l’attaque repose sur l’architecture modulaire de Zeus, qui permet aux criminels de mettre à jour des capacités individuelles sans réinfecter les systèmes compromis.

Composants principaux du malware Zeus

Comprendre chaque composant vous aide à identifier les opportunités de détection tout au long de la chaîne d’attaque.

  • Système de fichiers caché : Zeus opère depuis \windows\system32\lowsec\ avec des fichiers cachés pour le stockage des frappes clavier (user.ds), la configuration (local.ds) et l’exécutable chiffré du bot. Zeus accroche NtQueryDirectoryFile pour masquer ces fichiers aux outils de détection standards.
  • Infrastructure de commande et contrôle : Zeus traditionnel utilisait un C2 centralisé avec HTTP GET/POST pour la configuration et l’exfiltration. GameOver Zeus a éliminé cette faiblesse avec une architecture P2P où les systèmes infectés communiquent directement, rendant les démantèlements nettement plus difficiles selon la CISA.
  • Modules d’injection navigateur : Zeus maintient des modules spécifiques pour Firefox, Chrome et IE qui capturent les données de formulaires avant chiffrement et injectent du contenu malveillant dans les pages bancaires. Les mises à jour du fichier de configuration permettent de cibler de nouvelles banques sans nécessiter la réinfection des systèmes compromis.

Ces composants architecturaux permettent les capacités d’attaque principales de Zeus qui compromettent directement vos identifiants bancaires et données financières.

Fonctionnalités clés du malware Zeus

  • Capture de formulaires : Le malware intercepte les données à la couche applicative lors de la saisie de formulaires web. Lorsque vous tapez votre nom d’utilisateur, Zeus capture ces données avant que votre navigateur ne les chiffre pour la transmission. Cela se produit quel que soit le niveau de sécurité du site car Zeus opère côté utilisateur, avant le chiffrement.
  • Injection web : Zeus modifie les sites bancaires en temps réel en injectant du JavaScript et du HTML malveillants dans les pages légitimes. Vous voyez des champs de formulaire supplémentaires demandant des informations que votre banque ne sollicite jamais. Ces champs injectés sont identiques à l’interface légitime car Zeus imite précisément le style de la banque.
  • Keylogging : La capture complète des frappes clavier fournit une collecte d’identifiants de secours si la capture de formulaires échoue. Zeus enregistre chaque frappe via des hooks au niveau du noyau, stockant les données dans le fichier caché user.ds avec des captures d’écran pour contexte supplémentaire.
  • Exfiltration des identifiants : Zeus regroupe les identifiants volés et les transmet via des requêtes HTTP POST à l’infrastructure C2. Selon Cisco Talos Intelligence, les requêtes POST du malware utilisent des noms de fichiers identiques, permettant aux opérateurs de corréler les sessions et de reconstituer les profils utilisateurs.

Ces fonctionnalités rendent Zeus dévastateur une fois installé, d’où l’importance de comprendre ses méthodes de propagation pour bloquer les infections avant le début du vol d’identifiants.

Comment le cheval de Troie Zeus se propage

La propagation de Zeus repose sur l’ingénierie sociale plutôt que sur un comportement de ver automatisé.

  • Campagnes de phishing : L’alerte Zeus de la CISA de mars 2010 a documenté des campagnes de phishing massives usurpant le FBI, l’IRS et de grandes institutions financières. L’ingénierie sociale exploitait l’urgence pour inciter au clic avant que les destinataires n’évaluent la légitimité.
  • Kits d’exploitation : Les opérateurs de Zeus ont diffusé le malware via une infrastructure de kits d’exploitation automatisant l’exploitation des vulnérabilités du navigateur. Lors de la visite d’un site compromis, le kit profilait votre navigateur et livrait des exploits ciblant les vulnérabilités non corrigées.
  • Sites légitimes compromis : La propagation de Zeus s’appuyait fréquemment sur des sites de confiance plutôt que sur une infrastructure manifestement malveillante. Vos utilisateurs visitaient des domaines familiers et recevaient des infections Zeus depuis des sites auxquels ils faisaient confiance.
  • Livraison de charges secondaires : Les opérations GameOver Zeus déployaient le ransomware CryptoLocker en parallèle du vol d’identifiants. Lors de la suppression de Zeus, recherchez d’autres menaces persistantes.

Une fois que Zeus infiltre votre environnement via ces vecteurs, vous avez besoin d’indicateurs fiables pour détecter les infections actives avant l’exfiltration des identifiants.

Indicateurs de compromission (IOC) pour les infections Zbot

Vous avez besoin d’indicateurs comportementaux et réseau car le chiffrement polymorphe de Zeus rend chaque infection unique, rendant la détection par signature impraticable.

  1. Schémas comportementaux réseau : Selon Cisco Talos Intelligence, Zeus présente des schémas de trafic distinctifs : les requêtes HTTP GET reçoivent des blobs de configuration binaire avec Content-Type application/octet-stream, suivies immédiatement de requêtes HTTP POST jumelées pour finaliser l’enregistrement.
  2. Artefacts forensiques en mémoire : Avec le framework Volatility, recherchez des régions mémoire privées avec la protection PAGE_EXECUTE_READWRITE à l’emplacement 0x00b70000, où Zeus décompresse son image principale.
  3. Comportements mappés MITRE ATT&CK : Surveillez la découverte d’informations système via les commandes cmd /c systeminfo (T1082), suivez les modifications du registre créant des mécanismes de persistance et l’API hooking pour la furtivité, surveillez les activités de keylogging et de capture de formulaires, surveillez l’injection de processus et l’exécution en mémoire, et corrélez les schémas de beaconing HTTP.
  4. Principe de détection : Corrélez ces indicateurs individuels car Zeus présente plusieurs comportements suspects en schémas coordonnés plutôt qu’en incidents isolés. La détection comportementale axée sur les actions malveillantes s’avère plus efficace que la détection par signature face aux variantes polymorphes de Zeus.
  5. Hashes d’échantillons vérifiés : ANY.RUN et MalwareBazaar maintiennent des référentiels d’échantillons Zeus confirmés. Le hash SHA-256 18022d8613b4c36e502f9962ce27d4bb9f099d5659d44f82683b63f704873dcf représente une variante Zeus confirmée avec des caractéristiques d’infection observables. Cependant, la détection basée sur les hashes n’a qu’une valeur ponctuelle car les variantes polymorphes génèrent de nouveaux hashes à chaque infection.

Savoir ce qu’il faut rechercher n’est que la moitié du défi. Traduire ces IOC en détection exploitable nécessite les bons outils et méthodologies.

Comment détecter le cheval de Troie Zeus

La détection par signature échoue contre Zeus en raison de multiples techniques d’évasion. Selon Secureworks, la version 1.4 de Zeus a introduit le chiffrement polymorphe, rendant chaque infection unique.

  • Exigences en analytique comportementale : Déployez une  détection endpoint qui surveille les actions des processus noyau et les schémas d’utilisation mémoire. Zeus présente des comportements spécifiques persistants à travers les variantes : API hooking pour la furtivité, injection mémoire pour l’exécution, capture de formulaires pour l’interception des identifiants bancaires, et keylogging. Le  Behavioral AI Engine de SentinelOne surveille les actions des processus au niveau du noyau pour détecter les variantes Zeus indépendamment du chiffrement polymorphe.
  • Analyse du trafic réseau : Le comportement de beaconing réseau vers l’infrastructure C2 offre une détection fiable. Zeus doit communiquer avec des serveurs externes pour recevoir des configurations et exfiltrer les identifiants. Les capacités de threat intelligence permettent de détecter les communications C2 de Zeus via l’analyse des schémas de trafic.
  • Détection et réponse endpoint : Votre  XDR doit fournir une visibilité sur l’injection de processus, le chargement de DLL et les comportements d’API hooking.

Lorsque la détection confirme la présence de Zeus dans votre environnement, une suppression rapide et complète devient essentielle pour limiter l’exposition des identifiants.

Comment supprimer le malware Zeus des systèmes

La suppression de Zeus nécessite une réinitialisation complète des identifiants en plus de l’éradication du malware. Le malware n’est que la moitié du problème car les identifiants volés restent valides après la suppression.

  • Confinement immédiat : Isolez les systèmes infectés du réseau avant de commencer la suppression. Bloquez les domaines C2 de Zeus au niveau DNS et pare-feu.
  • Préservation forensique : Capturez les dumps mémoire avant l’arrêt du système. Utilisez le framework Volatility pour analyser les indicateurs d’injection de processus.
  • Éradication du malware : Déployez des solutions EDR avec surveillance comportementale au niveau du noyau pour détecter les techniques d’évasion de Zeus. Les capacités de réponse autonome de SentinelOne remédient aux infections Zeus à la vitesse machine, avec le  Ransomware Rollback restaurant les systèmes à l’état pré-attaque.
  • Remédiation d’identité : Réinitialisez les mots de passe de toutes les applications accédées depuis l’appareil infecté. Invalidez toutes les sessions web et jetons d’authentification.
  • Validation et surveillance : Vérifiez la suppression complète du malware via plusieurs méthodes de scan. Surveillez les systèmes affectés pendant plus de 30 jours pour détecter d’éventuels signes de réinfection.

La suppression réactive traite les infections immédiates, mais empêcher Zeus d’obtenir un premier accès offre une valeur de sécurité bien supérieure.

Bonnes pratiques pour prévenir les attaques du cheval de Troie Zeus

La prévention de Zeus nécessite une architecture de défense en profondeur car aucun contrôle unique n’arrête de manière fiable les chevaux de Troie bancaires.

  • Segmentation réseau : Segmentez votre réseau afin que les postes de travail ne puissent pas accéder directement aux serveurs contenant des données sensibles.
  • Architecture Zero Trust : Déployez les principes de l’architecture  zero trust NIST SP 800-207 qui considèrent chaque demande d’accès comme non fiable, quel que soit l’emplacement réseau.
  • Authentification multifacteur avec surveillance de session : L’AMF offre une protection en exigeant deux formes de vérification ou plus avant l’accès au compte. Cependant, Zeus utilise des techniques man-in-the-browser pouvant contourner l’authentification basée sur la session, rendant l’AMF seule insuffisante.
  • Systèmes de détection comportementale : Déployez une protection endpoint allant au-delà des méthodes basées sur les signatures. Zeus présente des schémas comportementaux spécifiques que les systèmes comportementaux détectent indépendamment des signatures de code.
  • Infrastructure de surveillance continue : Mettez en place une surveillance continue des schémas C2 Zeus avant l’exfiltration des identifiants.  Purple AI de SentinelOne utilise le langage naturel pour accélérer les investigations sur les menaces et accélère les opérations de sécurité avec une analyse assistée par IA, des résumés automatiques et des requêtes suggérées pour la chasse aux menaces.
  • Conformité réglementaire : Les institutions financières doivent déclarer les incidents selon CIRCIA et mettre en œuvre les contrôles du NIST Cybersecurity Framework.

L’application de ces bonnes pratiques crée une base défensive solide, mais les chevaux de Troie bancaires modernes exigent des capacités de détection et de réponse tout aussi modernes.

Stoppez les menaces Zeus Trojan avec SentinelOne

Détecter et stopper les variantes Zeus nécessite la surveillance des actions des processus noyau et des schémas d’utilisation mémoire, indépendamment de l’obfuscation du code. Le Behavioral AI Engine de SentinelOne fournit cette capacité en surveillant les comportements des processus et fichiers, détectant Zeus par ses actions plutôt que par des signatures de code. La plateforme enregistre automatiquement les détails forensiques dans le Singularity Data Lake.

La  Singularity Platform de SentinelOne offre des capacités de réponse autonome qui détectent et stoppent les menaces avant qu’un vol d’identifiants significatif ne se produise. Plusieurs moteurs de détection alimentés par l’IA travaillent ensemble pour fournir une protection à la vitesse machine contre les attaques à l’exécution, y compris l’analyse comportementale qui identifie les schémas d’activité de processus suspects.

  • Détection comportementale des menaces : Le moteur Static AI de SentinelOne est entraîné sur plus d’un demi-milliard d’échantillons de malware et inspecte les structures de fichiers pour détecter des caractéristiques malveillantes, tandis que le Behavioral AI Engine évalue l’intention et les comportements malveillants en temps réel sans intervention humaine.
  • Réponse autonome et restauration : La Singularity Platform de SentinelOne remédie aux endpoints à la vitesse machine sans intervention humaine. Ransomware Rollback permet aux organisations de restaurer les données à un état antérieur à l’attaque.
  • Investigation forensique Storyline : La technologie brevetée  Storyline de SentinelOne surveille, suit et contextualise automatiquement les données d’événements à travers votre environnement d’entreprise pour reconstituer les attaques en temps réel, en corrélant les événements liés sans analyse manuelle.
  • Investigations accélérées par Purple AI : Purple AI utilise le langage naturel pour accélérer les investigations sur les menaces, fournit une analyse assistée par IA et délivre des insights exploitables. Il accélère les opérations de sécurité avec des résumés automatiques et des requêtes suggérées pour une chasse aux menaces plus rapide.

SentinelOne stoppe les variantes Zeus de manière autonome grâce à la détection comportementale par IA. Demandez une démo SentinelOne pour l’expérimenter dans votre environnement.

Plate-forme Singularity™

Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.

Obtenir une démonstration

Points clés à retenir

Zeus a établi l’interception des identifiants au niveau du navigateur comme technique dominante dans les menaces bancaires modernes. Déployez des systèmes de détection comportementale identifiant les actions malveillantes indépendamment des signatures de code, car le chiffrement polymorphe de Zeus déjoue les antivirus traditionnels. 

Lorsque Zeus compromet vos systèmes, la suppression du malware ne résout que la moitié du problème : une remédiation complète exige la réinitialisation immédiate des identifiants sur toutes les applications accédées. Déjouez les menaces issues de Zeus grâce à une défense en profondeur combinant IA comportementale, architecture zero trust et réponse à incident centrée sur l’identité.

FAQ sur le malware Zeus

Le cheval de Troie Zeus, également connu sous le nom de Zbot, est un cheval de Troie bancaire qui vole les identifiants financiers via des attaques de type man-in-the-browser. Zeus intercepte les données avant le chiffrement en injectant du code dans votre navigateur, capturant ainsi les identifiants lors de leur saisie. Le malware est apparu en 2007 et a établi l'architecture de base que les chevaux de Troie bancaires modernes utilisent encore. Zeus a introduit les techniques de form grabbing, d'injection web et de keylogging qui restent la norme dans les malwares financiers actuels.

Les hackers déploient Zeus via des campagnes de phishing et des kits d’exploitation qui compromettent vos endpoints. Une fois infecté, Zeus capture les identifiants bancaires par interception de formulaires et enregistreur de frappe, puis exfiltre les données volées vers des serveurs C2. Les attaquants utilisent ces identifiants pour des fraudes financières directes et déploient souvent des charges secondaires comme des ransomwares afin de maximiser le rendement criminel des systèmes compromis.

Zeus cible spécifiquement les identifiants financiers en interceptant les données des sites bancaires avant le chiffrement. Le malware maintient des fichiers de configuration spécifiant les banques ciblées et utilise l'injection web pour modifier les pages bancaires en temps réel, capturant ainsi les identifiants et les détails des transactions. Cette spécialisation dans le vol financier distingue Zeus des chevaux de Troie à usage général.

Zeus a établi la base architecturale que suivent encore aujourd'hui les chevaux de Troie bancaires modernes : attaques de type homme-du-milieu dans le navigateur, injection web et conception modulaire. Les menaces actuelles comme Dridex et Trickbot ont évolué à partir du code source divulgué de Zeus, mais ont ajouté des outils de mouvement latéral et des capacités de livraison de ransomware. Le Zeus original est en grande partie inactif, mais ses dérivés dominent l'activité actuelle des chevaux de Troie bancaires.

L'authentification multifacteur offre une certaine protection mais n'arrête pas complètement Zeus, car le malware utilise des techniques de type homme-dans-le-navigateur qui peuvent contourner l'authentification basée sur la session. Zeus peut détourner des sessions authentifiées après une connexion MFA réussie en volant les cookies de session en plus des identifiants. 

Déployez l'authentification multifacteur comme une couche au sein de la défense en profondeur en complément de la détection comportementale et de l'architecture Zero Trust.

GameOver Zeus a éliminé le point de défaillance unique du Zeus traditionnel en remplaçant les serveurs de commande et de contrôle centralisés par une architecture peer-to-peer. Les systèmes infectés communiquent directement entre eux, rendant les opérations de démantèlement par les forces de l'ordre considérablement plus difficiles. 

CISA confirme que cette conception P2P a nécessité des efforts internationaux coordonnés pour être perturbée. GameOver Zeus associait également le vol d'identifiants à la diffusion du ransomware CryptoLocker, maximisant ainsi les gains criminels pour chaque infection.

La version 1.4 de Zeus a introduit un chiffrement polymorphe qui génère des signatures de code uniques pour chaque infection, contournant ainsi la détection basée sur les signatures. Le malware intercepte également l'API NtQueryDirectoryFile pour masquer ses fichiers lors des analyses de sécurité et fonctionne principalement en mémoire afin d'éviter la détection basée sur le disque. 

La détection comportementale, qui surveille les actions des processus et les schémas en mémoire, s'avère plus efficace car elle identifie Zeus par ses actions plutôt que par l'apparence de son code.

Les variantes originales de Zeus sont en grande partie inactives, mais vous faites face à des menaces actives provenant de chevaux de Troie bancaires dérivés de Zeus qui ont hérité de son architecture. Dridex, Trickbot et Zusy (TinyBanker) continuent de cibler les identifiants financiers en utilisant les techniques man-in-the-browser introduites par Zeus. 

Ces variantes modernes ont ajouté des capacités de livraison de ransomware et de mouvement latéral. Les méthodes d'attaque fondamentales établies par Zeus restent l'approche standard pour les chevaux de Troie bancaires aujourd'hui.

Isolez immédiatement les systèmes infectés, capturez des images mémoire pour l'analyse forensique, puis déployez des outils EDR avec visibilité au niveau du noyau afin de contourner les hooks d'API de Zeus. Supprimez les artefacts malveillants et les mécanismes de persistance, bien qu'une reconstruction du système à partir de sauvegardes saines s'avère souvent plus fiable. 

Réinitialisez tous les identifiants et invalidez toutes les sessions pour les comptes ayant été accédés depuis des appareils infectés, car le vol d'identifiants permet une compromission continue après la suppression du malware.

En savoir plus sur Cybersécurité

Qu'est-ce qu'une Insecure Direct Object Reference (IDOR) ?Cybersécurité

Qu'est-ce qu'une Insecure Direct Object Reference (IDOR) ?

Une Insecure Direct Object Reference (IDOR) est une faille de contrôle d'accès où l'absence de vérification de propriété permet à des attaquants d'accéder aux données de n'importe quel utilisateur en modifiant un paramètre d'URL. Découvrez comment la détecter et la prévenir.

En savoir plus
Sécurité IT vs OT : Principales différences et meilleures pratiquesCybersécurité

Sécurité IT vs OT : Principales différences et meilleures pratiques

La sécurité IT vs OT couvre deux domaines avec des profils de risque, des exigences de conformité et des priorités opérationnelles distincts. Découvrez les principales différences et les meilleures pratiques.

En savoir plus
Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiquesCybersécurité

Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiques

Les sauvegardes Air Gapped conservent au moins une copie de récupération hors de portée des attaquants. Découvrez leur fonctionnement, les types, des exemples et les meilleures pratiques pour la récupération après ransomware.

En savoir plus
Qu'est-ce que la sécurité OT ? Définition, défis et meilleures pratiquesCybersécurité

Qu'est-ce que la sécurité OT ? Définition, défis et meilleures pratiques

La sécurité OT protège les systèmes industriels qui pilotent les processus physiques dans les infrastructures critiques. Couvre la segmentation selon le modèle Purdue, la convergence IT/OT et les recommandations du NIST.

En savoir plus
Découvrez la plateforme de cybersécurité la plus avancée

Découvrez la plateforme de cybersécurité la plus avancée

Découvrez comment la plateforme de cybersécurité la plus intelligente et la plus autonome au monde peut protéger votre organisation aujourd'hui et à l'avenir.

Obtenir une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français