Usines à profits

Cet article est consacré à l’étude des messages non sollicités et s’intéresse aux techniques utilisées par les cybercriminels aujourd’hui pour créer des réseaux de zombies et diffuser des spams dans l’unique objectif de s’enrichir.

Courrier indésirable

Au début de l’été 2009, les experts du laboratoire de Kaspersky Lab ont commencé à recevoir des messages qui, à première vue, ressemblaient en tout point au courrier indésirable traditionnel. Il s’agissait de publicités pour des médicaments dans une présentation standard, à savoir code HTML et images insérées :


Exemple du message non sollicité envoyé à webmaster@viruslist.com

Toutefois, ces messages se différenciaient des autres par un élément. Les liens ne menaient pas vers les sites des spammeurs mais vers des pages HTML de sites légitimes.

Bien que les domaines de ces liens changeaient d’un message à l’autre, le chemin d’accès au serveur était toujours le même : «1/2/3/4/buy.html».


Texte original de la page Web redirigeant l’utilisateur vers le site des spammeurs

Sites

Il aurait été impossible de compromettre la majorité de ces sites à l’aide de méthodes traditionnelles. L’analyse superficielle de ceux-ci ne permit pas de mettre en évidence des vulnérabilités identiques, des technologies similaires de développement, etc. De plus, la majorité d’entre eux était programmée exclusivement en HTML, sans aucun script. Le seul point commun entre ces sites était l’existence du fichier « buy.html » qui contenait la balise HTML responsable de la redirection des utilisateurs vers le site du magasin en ligne vendant les médicaments.

Toutefois, l’analyse en profondeur du contenu d’un des sites compromis permit de découvrir un IFRAME très bien caché qui redirigeait l’utilisateur vers le site b9g.ru. Ceci attira tout de suite l’attention des experts car ces IFRAME avec un lien vers des sites suspects sont souvent utilisés par les cybercriminels pour infecter les ordinateurs d’utilisateurs à l’aide de codes d’exploitation.

Codes d’exploitation

L’étape suivante consistait à identifier ce qui était chargé sur les ordinateurs depuis l’adresse http://b9g.ru:****/*****.php. Comme il fallait s’y attendre, lors de la première visite du site, ce sont des codes d’exploitation qui étaient chargés et non pas index.php. Les cybercriminels utilisaient diverses vulnérabilités dans l’application. Les plus dangereuses et les plus efficaces étaient les codes d’exploitation des vulnérabilités dans le format PDF.

Bot

L’exploitation des vulnérabilités permettait de charger et d’installer le fichier exécutable Backdoor.Win32.Bredolab sur l’ordinateur des victimes. La fonction de ce programme malveillant avec un outil de dissimulation de l’activité est de charger et d’installer d’autres programmes malveillants.

Cheval de Troie pour le vol de mots de passe

Suite à la connexion du bot au centre de commande, le programme malveillant Trojan-PSW.Win32.Agent.mzh, développé pour voler les mots de passe d’accès aux clients FTP, est téléchargé et installé.

Téléchargement d’autres applications malveillantes

Une semaine plus tard, le centre de commande envoyait l’instruction de téléchargement des bots pour la diffusion de courrier indésirable tels que Rustock (Backdoor.Win32.HareBot) et Pushdo (Backdoor.Win32.NewRest.aq) !

Et après une semaine, un programme malveillant de la famille koobface et un antivirus fictif étaient installés sur les ordinateurs infectés.

Plan de l’attaque

Cette petite enquête réalisée au départ d’un message non sollicité envoyé à l’adresse webmaster@viruslist.com permit de mettre en évidence le modus operandi des cybercriminels :

Conclusion

La diffusion de messages non sollicités contenant des liens vers des sites compromis et infectés se poursuit. Les experts du laboratoire de Kaspersky Lab découvrent toutes les heures plusieurs dizaines d’adresses de ce genre de site.


Exemple de message non sollicité avec un lien vers un site compromis

P.S.

Les experts du laboratoire de Kaspersky Lab ont appris en juillet 2009 la nouvelle de l’attaque contre le célèbre torrent tracker Torrentreactor. L’insertion de balises qui redirigent les utilisateurs vers un site avec un code d’exploitation, montre que le programme malveillant de vol de mots de passe d’accès à un client FTP a été utilisée. Ce programme a permis de voler le mot de passe depuis l’ordinateur utilisé pour accéder au site.

Share post on:

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *