Infos

TDSS se dote d’un générateur de noms de domaine

D’après les informations de Damballa, le réseau de zombies qui repose sur l’outil de dissimulation d’activité TDL-4 s’est doté d’un nouveau dispositif de protection, à savoir un algorithme de génération de noms de domaines (DGA).

L’utilisation de ce genre d’algorithme pour masquer l’emplacement réel du centre de commande est une vieille astuce qui est assez efficace. Elle a été adoptée
avec succès par les propriétaires de Kraken, Sinowal, Waledac, Kido et ZeuS afin d’allonger la durée de vie des infrastructures de commande. L’algorithme de génération de noms de domaine produit selon une fréquence déterminée de longues listes de noms de domaine fruits d’une sélection aléatoire. Lorsqu’il tente de contacter le centre de commande, le bot parcourt les noms de la liste et envoie des requêtes au serveur DNS jusqu’à ce qui trouve un domaine opérationnel.

Les experts ont noté un renforcement de l’activité NS lors de l’observation d’une nouvelle campagne de fraude au clic impliquant TDL-4. Les particularités du trafic DNS ont déclenché les analyseurs de réseau de Damballa configurés pour rechercher les menaces sur Internet qui utilisent un générateur de noms de domaine. Il se fait que la source du comportement suspect étaient des bots TDL-4 qui tentaient de trouver le centre de commande sur Internet afin d’envoyer les résultats de la fraude au clic. Les experts n’ont pas encore réussi à confirmer leur découverte à l’aide d’un exemple concret : il semblerait que personne ne dispose de l’échantillon requis. Pour confirmer ses suppositions, Damballa a du utiliser un piège à trafic, à savoir un routeur qui intercepte le trafic de commande, et des instantanés de la mémoire des périphériques infectés.

Il semblerait que la version de TDL-4 avec algorithme de génération de noms de domaine existe sur Internet depuis le mois de mai de cette année. Il a déjà fait plus de 250 000 victimes, dont des institutions gouvernementales, des fournisseurs d’accès Internet et 46 sociétés de la liste Fortune 500. Les enquêteurs ont recensé 85 serveurs et 418 domaines uniques associés au nouveau TDL-4. Les pays où le plus grand nombre de centres de commande a été découvert sont la Russie (26 hôtes), la Roumanie (15) et les Pays-Bas (12). La campagne de fraude au clic citée ci-dessus visait Facebook, DoubleClick, Youtube, Yahoo.com, MSN et Google.com.

TDL-4 est apparu sur Internet il y a deux ans. Il s’agissait d’une nouvelle évolution de l’outil de dissimulation d’activité TDSS. D’après Kaspersky Lab, au début de l’année dernière, le réseau de zombies construit à l’aide de celui-ci comptait plus de 4,5 millions d’ordinateurs infectés. Ce puissant dispositif permet aux individus malintentionnés de réaliser des escroqueries impliquant des publicités et les moteurs de recherche. Ils obtiennent également l’anonymat de l’accès à Internet et peuvent installer d’autres programmes malveillants sur les ordinateurs qui appartiennent au réseau de zombies. L’arsenal de protection de TDL-4 contient notamment le cryptage du trafic de commande, l’administration via des canaux P2P, des serveurs proxy et même son propre antivirus pour supprimer les concurrents. La découverte réalisée par Damballa prouve une fois de plus que le perfectionnement de TDSS ne s’arrête jamais.

Source Damballa

TDSS se dote d’un générateur de noms de domaine

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception