Infos

Carberp fait son coming out

Le code source du cheval de Troie Carberp, dont le coût sur le marché noir est estimé à 40 000 dollars, a été divulgué sur Internet et il est désormais accessible à tout un chacun. Un cas identique s’était produit il y deux ans avec le toolkit de ZeuS et les experts en sécurité informatique craignent que cette nouvelle fuite, à l’instar de la précédente, engendre toute une série de nouveaux chevaux de Troie et de programmes "clés sur porte" pour réaliser des cyberattaques.

Le code source de Carberp est apparu en ligne au milieu du mois de juin et les experts avaient alors remarqué que l’archive zip contenant le fichier binaire était protégée par un mot de passe. Quelques jours plus tard, ce mot de passe était à son tour publié sur Internet et le code source se trouvait ainsi à la portée non seulement des experts, mais de toute personne qui se donnait la peine de le chercher. Presque tout au long de son histoire, Carberp a été l’outil privé d’une organisation criminelle russe. En 2012, quelques membres supposés de ce groupe ont été arrêtés et quelques mois plus tard, une version commerciale du cheval de Troie faisait son apparition sur le marché noir. Elle était vendue pour la coquette somme de 40 000 dollars.   

Ce nouveau toolkit commercial n’était pas à la portée de toutes les bourses et seule la crème de la crème de la cybercriminalité pouvait en profiter. Mais depuis que le code source de Carberp a été rendu public, cette situation pourrait très vite changer. Ce programme malveillant permet de voler un volume impressionnant de données personnelles sur les ordinateurs infectés. Carberp possède un large éventail de plug-in, il est en mesure de bloquer les systèmes de protection ainsi que d’identifier et de détruire les programmes malveillants concurrents sur l’ordinateur de la victime. De plus, les versions les plus récentes du cheval de Troie intègrent la technologie de bootkit (rootkit du MBR), ce qui permet d’infecter un ordinateur avec un niveau d’autorisations minimum et de dissimuler sa présence dans le système.

Les experts de la société danoises CSIS Security Group vont analyser le code source publié de Carberp. D’après Peter Kruse, directeur du service d’enquête sur la criminalité de haute technologie chez CSIS : "L’exemplaire en notre possession est doté du bootkit Caberp et d’autres codes sources associés à Stone bootkit, Citadel, Ursnif, etc. Cet exemplaire est actuellement soumis à une analyse minutieuse. Nous avons trouvé également quelques fichiers texte contenant, selon toute vraisemblance, des enregistrements de chats privés et une série de noms d’utilisateur et de mot de passe d’accès à plusieurs serveurs FTP. Il faut également analyser ces données comme il se doit."   

Peter Kruse poursuit : "A l’instar de ce qui s’était produit avec la fuite du code source de ZeuS en mai 2011, les individus malintentionnés ont eu toutes les possibilités pour modifier et enrichir les fonctions du toolkit. Nous avions prédit cette situation en 2011 et elle avait engendré une série de nouveaux toolkits commerciaux comme IceIX et Citadel qui, à ce jour, interviennent toujours dans des cyberattaques."   

Seul l’avenir nous dira si cette divulgation va avoir les mêmes conséquences. Il n’en reste pas mois que cette fuite est une mauvaise nouvelle pour l’ensemble de la communauté Internet. Cet événement est en mesure d’augmenter le nombre d’utilisateurs de ce cheval de Troie et d’élargir la plage des cibles potentielles. Ceci étant, cette situation n’a pas que des côtés négatifs : les experts de la lutte contre les virus ont obtenu ainsi une possibilité supplémentaire d’étudier Carberp et son architecture plus en détails, ce qui permettra de mettre en place des protections plus efficaces contre ce programme malveillant.

Dans son message envoyé à Threatpost, Peter Kruse indiquait que d’après les données dont il disposait, le code source de Carberp publié était original. "Il semblerait qu’il s’agit du code source intégral, mais il est difficile d’identifier à première vue d’éventuelles nouveautés ou portes dérobées. L’analyse complète du code est un processus qui demande du temps. Ceci étant dit, le code que nous avons testé se compile et fonctionne parfaitement, mais vu l’ampleur et la complexité du projet, l’analyse complète du code source va prendre un certain temps, même si nous avons confié la tâches à des analystes chevronnés" écrit Peter Kruse.

Sources : http://www.trusteer.com/blog/carberp-source-code-for-sale-free-bootkit-included
  https://www.csis.dk/en/csis/news/3961/

Carberp fait son coming out

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception