Nouvelle astuce des diffuseurs de spam pharmaceutique : un réseau de zombies en tant que centre de commande

Des chercheurs de chez Incapsula ont détecté une campagne de spam de grande envergure qui assure la promotion des services des pharmacies non homologuées Canadian Pharmacy. Pour créer le spam, les individus malintentionnés utilisent un réseau de sites infectés qu’ils gèrent à l’aide d’un réseau de zombies comptant plus de 80 000 ordinateurs compromis. Toutes les communications, les commandes et la charge utile font l’objet d’un chiffrement minutieux afin de déjouer les filtres antispam basés sur les listes noires d’adresses Internet et les adresses des expéditeurs.

Cela fait longtemps que les autorités policières et judiciaires et les organismes de réglementation de l’industrie pharmaceutique luttent sans succès contre la vente en ligne de médicaments contrefaits qui présentent un danger pour la santé et contre le libre échange de substances contrôlées. D’après les données d’Incapsula, ce marché représente à l’heure actuelle 431 milliards de dollars américains. La plateforme clandestine de vente de médicaments Canadian Pharmacy est connue depuis longtemps pour son agressivité ; ses propriétaires utilisent souvent les services des spammeurs pour organiser des diffusions massives de publicités dans le cadre de partenariats spécialisés.

Il y a un mois environ, les solutions de protection d’Incapsula ont enregistré une hausse sensible du flux de requêtes chiffrées en base64. L’enquête a permis de définir qu’elles provenaient toutes d’un réseau de zombies inconnu qui envoyait des commandes aux sites infectés par un shell Web WSO, une backdoor PHP utilisée généralement pour l’administration à distance des fichiers et l’exécution de code. Après le déchiffrement des données, les chercheurs ont identifié trois types de commandes : une commande de modification des fichiers de configuration .htaccess, une commande d’insertion d’une application PHP malveillante et une commande pour la réception de la charge utile.

La commande d’injection dans .htaccess, qui est chiffrée également, visait à mettre en place une redirection depuis une page inexistante (erreur 404) vers une pharmacie en ligne du réseau Canadian Pharmacy. Comme l’ont découvert les experts, la majorité de ces points de vente illicites était associé au domaine de 1er niveau .ru, bien que les noms des sites contenaient souvent le mot Canadian (par exemple, Canadian-Heath&Care Mall).

Un script PHP personnalisé, introduit sur le site à l’aide d’une commande (codée) du réseau de zombies, obtient la charge utile depuis une source distante et la déchiffre. Il l’exploite ensuite pour créer les messages indésirables. L’analyse a indiqué que la charge contient quatre paramètres : $to_email, $subject, $body et $header (adresses du destinataire, corps du message, texte principal et en-tête). Les messages indésirables sont envoyés à l’aide de la fonction mail(), à savoir via le serveur SMTP défini dans les paramètres du site (dans le fichier PHP de configuration).

Après avoir identifié le malware PHP, les chercheurs ont pu étudier plus attentivement la charge utile reçue. Dans le cadre de la surveillance, des centaines de millier de versions ont été découvertes et chacune contenait des publicités pour des marchandises, en général des comprimés de Cialis de 20 mg ou de Viagra de 100 mg. Le texte lacunaire confirmait la création automatique. Mais les experts avaient été le plus surpris par les efforts remarquables fournis pour masquer la charge utile.

Afin de protéger les données importantes, les individus malintentionnés exécutent un algorithme en base64 à huit reprises, puis trois fois de plus pour chaque paramètre séparé par une ligne verticale (« | »). C’est cette structure imbriquée qui a inspiré Incapsula pour attribuer le nom B64ryoshka (« batrioshka », par analogie avec « matrioshka »). Toutes les charges de B64ryoshka interceptées contenaient un lien vers une adresse Internet inexistante ou un autre domaine compromis.

L’ensemble de l’escroquerie repose sur des sites qui fonctionnent par pair : un envoie le spam et l’autre redirige les visiteurs vers la pharmacie en ligne dont la promotion est assurée. Les auteurs de la campagne B64ryoshka comptent tout un réseau de  » couples  » de ce genre.

L’ampleur de la campagne est confirmée par le nombre de magasins identifiés grâce à la publicité diffusée par spam : 51. D’après Incapsula, ils sont établis en Chine, en Malaisie, au Vietnam, en Indonésie, en France, en Roumanie, en Russie, à Taiwan et en Ukraine. L’étude des adresses IP de ces sites a permis de détecter 1 005 domaines actifs complémentaires qui seraient également exploités par les spammeurs. Parmi ces sites, 70,2 % utilisent un hébergement Internet russe et le reste, un hébergement français.

Les chercheurs ont également été impressionnés par la taille du réseau de zombies impliqué dans l’administration du réseau des sites d’exécution. Au cours de deux semaines de surveillance des communications du centre de commande, 86 278 adresses IP uniques réparties à travers le monde entier ont été identifiées. On les retrouve principalement en Russie (11,5 %), en Indonésie et au Vietnam (8,7 et 7,9 % respectivement). D’après les empreintes, dans la majorité des cas, les commandes provenaient de dispositifs qui utilisaient un navigateur Internet, comme des ordinateurs personnels. Les experts supposent que ces dispositifs ont été compromis lors d’une attaque au niveau applicatif, par exemple, à l’aide d’un plug-in malveillant pour navigateur. L’analyse Shodan n’a renvoyé qu’une paire d’adresses IP associées à ce réseau de zombies vu que les appareils qui le composent n’appartiennent pas à l’Internet des objets.

Les chercheurs sont prêts à attribuer une origine russe à la campagne B64ryoshka étant donné la majorité de domaines .ru et l’emplacement des dispositifs qui appartiennent au réseau de zombies.

Alors que le rapport d’Incapsula était sur le point d’être publié, des informations sur une nouvelle tentative de neutralisation de Kelihos et sur l’arrestation de l’opérateur présumé de ce réseau de zombies ont été diffusées. Les experts avaient cru que « leur » réseau de zombies était en réalité Kelihos, mais au cours des 4 jours qui ont suivi cette annonce, l’activité de B64ryoshka a augmenté de 11 %, ce qui indiquait qu’ils s’étaient trompé. L’action retentissante menée contre Kelihos semble avoir été utile pour son concurrent.

Les données obtenues par Incapsula dans le cadre de l’enquête ont d’ores et déjà été transmises aux autorités compétentes, que se soient les autorités judiciaires ou les organismes de réglementation du marché des médicaments.

Incapsula

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *