Coalition contre le réseau de zombies Dorkbot

La semaine dernière, les spécialistes de la lutte contre le réseaux de zombies ont porté un coup mortel à l’infrastructure de Dorkbot, un des malwares les plus répandus actuellement. D’après les estimations des experts, ce ver Windows doté d’une backdoor aurait infecté plus d’un million d’ordinateurs répartis dans 190 pays en quatre ans.

Cette opération transfrontalière a été menée par le Centre européen de lutte contre la cybercriminalité (EC3), sous l’égide d’Europol, la cellule opérationnelle pour lutter contre la cybercriminalité ( J-CAT, Joint Cybercrime Action Taskforce), Interpol, le FBI et les autorités judiciaires et policières du Canada, de Belgique, de France, de Lituanie, d’Espagne, des Pays-Bas, d’Albanie et du Monténégro. Les policiers canadiens ont en particulier aidé l’organe de supervision de ce pays à mettre en œuvre la première disposition du genre prise dans le cadre de la loi contre le spam, à savoir la mise hors service d’un serveur de commande de Dorkbot qui fonctionnait à Toronto.

Microsoft, ESET et les CERT de Pologne et des Etats-Unis ont fournis l’assistance technique. Pour l’instant, les organisations impliquées dans cette opération conjointe sont occupées à recenser les parties qui ont été victimes des opérateurs du réseau de zombies.

Microsoft et ESET observent Dorkbot (connu sous le nom de NgrBot sur le marché noir) depuis 2011. Ce ver se propage via les clés USB, les canaux de messagerie instantanée, les messages non sollicités sur les réseaux sociaux et les téléchargement de type « drive-by » à l’aide d’un code d’exploitation. D’après les experts, certains exploitants de réseaux de zombies bâtis sur Dorkbot utilisent également un module de téléchargement spécial.

D’après Microsoft, la fonction principale du malware est le vol d’informations d’authentification et de données personnelles. Dorkbot surveille les séances de communication via le navigateur et réagit aux accès à certains sites. Ainsi, le malware s’intéresse tout particulièrement aux services de messagerie (AOL, Gmail, Yahoo), aux réseaux sociaux (Facebook, Twitter), mais aussi à eBay, PatPal, Steam, YouTube, Netflix, etc.

Une fois exécuté sur l’ordinateur de la victime, Dorkbot ouvre la backdoor et attend les commandes de ses maîtres. En général, la première tâche qu’il doit effectuer est l’auto-propagation ou le téléchargement d’un autre malware. Dans ce cas, la sélection est vaste : il peut s’agir de downloaders de type Gamarue/Andromeda ou Necurs jusqu’aux spambots tels que Waledac, Kelihos et Lethic en passant par les ransomwares comme Crowti/Cryptowall.

Dorkbot est également capable d’exécuter une commande qui bloque l’accès des victimes aux sites de sécurité de l’information afin d’empêcher la mise à jour de la protection antivirus installée. Il enregistre également l’heure de sa première exécution et en cas de réception d’une mise à jour, il vérifie cette information : la différence ne peut être inférieure à 48 heures, dans le cas contraire, la requête adressée à l’URL sera découverte si l’exécution a eu lieu dans un bac à sable.

Dorkbot est administré via des canaux IRC. D’après Windows, certaines versions du ver utilisent le protocole de connexion sécurisée SSL. En règle générale, les adresses des serveurs de commande sont programmées dans le module IRC du malware. Lors de la première connexion, Dorkbot envoie aux opérateurs son emplacement, la version de Windows utilisée par la victime et l’identifiant personnel. Il peut alors exécuter les commandes.

Au cours des 6 derniers mois, les solutions de protection de Microsoft ont détecté en moyenne près de 100 000 infections de Dorkbot par mois. Le nombre le plus élevé de bots a été détecté en Inde (21 % du total), en Indonésie (17 %), en Russie et en Argentine (16 et 14 % respectivement). Le Top 10 des pays selon cet indice représente 61 % des détections.

Source: Europol

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *