Un réseau de zombies dédié au spam dissimulé derrière un rideau de fumée

Les experts de SonicWALL (qui appartient désormais à Dell) ont découvert un réseau de zombies dédié au spam qui génère un volume important de requêtes HTTP POST et GET pour dissimuler ses intentions et tromper d’éventuels enquêteurs.

D’après Ed Miles, analyste en virus principal chez Sonic WALL : "On dirait qu’il cherche à dissimuler les communications utiles avec charge dans un flux de requête inoffensives qui ne contiennent rien de remarquable. Il se dissimule dans son propre trafic." 

Ce réseau de zombies dédié au spam, baptisé Wigon.PH_44 par Sonic WALL, fonctionne depuis des sites compromis développés à l’aide de WordPress. A l’heure actuelle, 200 ressources de ce genre ont été découvertes avec un nombre total de consultation égal à 15 000, principalement depuis le territoire des Etats-Unis. La méthode utilisée pour compromettre les sites WordPress n’a pas encore été établie.

Wigon peut fonctionner sous différentes versions de Windows, notamment la version 64 bits de XP et Windows 8. Sa fonction ne se limite pas à la diffusion de messages non sollicités : les enquêteurs ont également découvert un module qui vole les données dans les clients de messagerie et les clients FTP comme CuteFTP, FTP Commander, FTP Navigator, FileZille, etc. Une fois installé, le programme malveillant se connecte à un serveur de commande et reçoit la commande de propagation d’autres programmes malveillants par courrier indésirable.

En étudiant ce nouveau réseau de zombies dédié au spam, Ed Miles et son collègue Deepen Desai ont remarqué une ressemblance avec Cutwail, mais pour l’instant ils ne sont pas prêts à confirmer que Wigon est une nouvelle version de cette menace bien connue. Deepen Desai explique : "Nous avons remarqué que le programme malveillant reçoit des modèles pour les messages non sollicités via une requête HTTP, mais il les transmet sous forme cryptée. Il s’agit d’une caractéristique que nous avons parfois observé, parmi d’autres, chez Cutwail. Toutefois, il est encore trop tôt pour affirmer qu’il s’agit de Cutwail, même si le comportement affiché va dans ce sens.

Suite à l’arrestation de l’auteur de Blackhole et à la réduction de l’utilisation de ce kit d’exploitation, le flux de courrier indésirable malveillant envoyé par des réseaux de zombies, dont Cutwail, a quelque peu diminué. Les individus malintentionnés qui comptaient sur Blackhole doivent maintenant trouver des alternatives pour livrer les programmes qui leur font gagner de l’argent, notamment les programmes de type banker ou les programmes qui chiffrent les fichiers.

http://news.softpedia.com/news/Aggressive-Spam-Bot-Served-by-Compromised-WordPress-websites-418770.shtml

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *