Infos

Coalition contre le réseau de zombies Dorkbot

La semaine dernière, les spécialistes de la lutte contre le réseaux de zombies ont porté un coup mortel à l’infrastructure de Dorkbot, un des malwares les plus répandus actuellement. D’après les estimations des experts, ce ver Windows doté d’une backdoor aurait infecté plus d’un million d’ordinateurs répartis dans 190 pays en quatre ans.

Cette opération transfrontalière a été menée par le Centre européen de lutte contre la cybercriminalité (EC3), sous l’égide d’Europol, la cellule opérationnelle pour lutter contre la cybercriminalité ( J-CAT, Joint Cybercrime Action Taskforce), Interpol, le FBI et les autorités judiciaires et policières du Canada, de Belgique, de France, de Lituanie, d’Espagne, des Pays-Bas, d’Albanie et du Monténégro. Les policiers canadiens ont en particulier aidé l’organe de supervision de ce pays à mettre en œuvre la première disposition du genre prise dans le cadre de la loi contre le spam, à savoir la mise hors service d’un serveur de commande de Dorkbot qui fonctionnait à Toronto.

Microsoft, ESET et les CERT de Pologne et des Etats-Unis ont fournis l’assistance technique. Pour l’instant, les organisations impliquées dans cette opération conjointe sont occupées à recenser les parties qui ont été victimes des opérateurs du réseau de zombies.

Microsoft et ESET observent Dorkbot (connu sous le nom de NgrBot sur le marché noir) depuis 2011. Ce ver se propage via les clés USB, les canaux de messagerie instantanée, les messages non sollicités sur les réseaux sociaux et les téléchargement de type « drive-by » à l’aide d’un code d’exploitation. D’après les experts, certains exploitants de réseaux de zombies bâtis sur Dorkbot utilisent également un module de téléchargement spécial.

D’après Microsoft, la fonction principale du malware est le vol d’informations d’authentification et de données personnelles. Dorkbot surveille les séances de communication via le navigateur et réagit aux accès à certains sites. Ainsi, le malware s’intéresse tout particulièrement aux services de messagerie (AOL, Gmail, Yahoo), aux réseaux sociaux (Facebook, Twitter), mais aussi à eBay, PatPal, Steam, YouTube, Netflix, etc.

Une fois exécuté sur l’ordinateur de la victime, Dorkbot ouvre la backdoor et attend les commandes de ses maîtres. En général, la première tâche qu’il doit effectuer est l’auto-propagation ou le téléchargement d’un autre malware. Dans ce cas, la sélection est vaste : il peut s’agir de downloaders de type Gamarue/Andromeda ou Necurs jusqu’aux spambots tels que Waledac, Kelihos et Lethic en passant par les ransomwares comme Crowti/Cryptowall.

Dorkbot est également capable d’exécuter une commande qui bloque l’accès des victimes aux sites de sécurité de l’information afin d’empêcher la mise à jour de la protection antivirus installée. Il enregistre également l’heure de sa première exécution et en cas de réception d’une mise à jour, il vérifie cette information : la différence ne peut être inférieure à 48 heures, dans le cas contraire, la requête adressée à l’URL sera découverte si l’exécution a eu lieu dans un bac à sable.

Dorkbot est administré via des canaux IRC. D’après Windows, certaines versions du ver utilisent le protocole de connexion sécurisée SSL. En règle générale, les adresses des serveurs de commande sont programmées dans le module IRC du malware. Lors de la première connexion, Dorkbot envoie aux opérateurs son emplacement, la version de Windows utilisée par la victime et l’identifiant personnel. Il peut alors exécuter les commandes.

Au cours des 6 derniers mois, les solutions de protection de Microsoft ont détecté en moyenne près de 100 000 infections de Dorkbot par mois. Le nombre le plus élevé de bots a été détecté en Inde (21 % du total), en Indonésie (17 %), en Russie et en Argentine (16 et 14 % respectivement). Le Top 10 des pays selon cet indice représente 61 % des détections.

Source: Europol

Coalition contre le réseau de zombies Dorkbot

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception