Menu Contenu Fermer

Infos

Usines à profits

Infos

minute de lecture

Auteurs

Cet article est consacré à l’étude des messages non sollicités et s’intéresse aux techniques utilisées par les cybercriminels aujourd’hui pour créer des réseaux de zombies et diffuser des spams dans l’unique objectif de s’enrichir.

Courrier indésirable

Au début de l’été 2009, les experts du laboratoire de Kaspersky Lab ont commencé à recevoir des messages qui, à première vue, ressemblaient en tout point au courrier indésirable traditionnel. Il s’agissait de publicités pour des médicaments dans une présentation standard, à savoir code HTML et images insérées :


Exemple du message non sollicité envoyé à webmaster@viruslist.com

Toutefois, ces messages se différenciaient des autres par un élément. Les liens ne menaient pas vers les sites des spammeurs mais vers des pages HTML de sites légitimes.

Bien que les domaines de ces liens changeaient d’un message à l’autre, le chemin d’accès au serveur était toujours le même : «1/2/3/4/buy.html».


Texte original de la page Web redirigeant l’utilisateur vers le site des spammeurs

Sites

Il aurait été impossible de compromettre la majorité de ces sites à l’aide de méthodes traditionnelles. L’analyse superficielle de ceux-ci ne permit pas de mettre en évidence des vulnérabilités identiques, des technologies similaires de développement, etc. De plus, la majorité d’entre eux était programmée exclusivement en HTML, sans aucun script. Le seul point commun entre ces sites était l’existence du fichier « buy.html » qui contenait la balise HTML responsable de la redirection des utilisateurs vers le site du magasin en ligne vendant les médicaments.

Toutefois, l’analyse en profondeur du contenu d’un des sites compromis permit de découvrir un IFRAME très bien caché qui redirigeait l’utilisateur vers le site b9g.ru. Ceci attira tout de suite l’attention des experts car ces IFRAME avec un lien vers des sites suspects sont souvent utilisés par les cybercriminels pour infecter les ordinateurs d’utilisateurs à l’aide de codes d’exploitation.

Codes d’exploitation

L’étape suivante consistait à identifier ce qui était chargé sur les ordinateurs depuis l’adresse http://b9g.ru:****/*****.php. Comme il fallait s’y attendre, lors de la première visite du site, ce sont des codes d’exploitation qui étaient chargés et non pas index.php. Les cybercriminels utilisaient diverses vulnérabilités dans l’application. Les plus dangereuses et les plus efficaces étaient les codes d’exploitation des vulnérabilités dans le format PDF.

Bot

L’exploitation des vulnérabilités permettait de charger et d’installer le fichier exécutable Backdoor.Win32.Bredolab sur l’ordinateur des victimes. La fonction de ce programme malveillant avec un outil de dissimulation de l’activité est de charger et d’installer d’autres programmes malveillants.

Cheval de Troie pour le vol de mots de passe

Suite à la connexion du bot au centre de commande, le programme malveillant Trojan-PSW.Win32.Agent.mzh, développé pour voler les mots de passe d’accès aux clients FTP, est téléchargé et installé.

Téléchargement d’autres applications malveillantes

Une semaine plus tard, le centre de commande envoyait l’instruction de téléchargement des bots pour la diffusion de courrier indésirable tels que Rustock (Backdoor.Win32.HareBot) et Pushdo (Backdoor.Win32.NewRest.aq) !

Et après une semaine, un programme malveillant de la famille koobface et un antivirus fictif étaient installés sur les ordinateurs infectés.

Plan de l’attaque

Cette petite enquête réalisée au départ d’un message non sollicité envoyé à l’adresse webmaster@viruslist.com permit de mettre en évidence le modus operandi des cybercriminels :

Conclusion

La diffusion de messages non sollicités contenant des liens vers des sites compromis et infectés se poursuit. Les experts du laboratoire de Kaspersky Lab découvrent toutes les heures plusieurs dizaines d’adresses de ce genre de site.


Exemple de message non sollicité avec un lien vers un site compromis

P.S.

Les experts du laboratoire de Kaspersky Lab ont appris en juillet 2009 la nouvelle de l’attaque contre le célèbre torrent tracker Torrentreactor. L’insertion de balises qui redirigent les utilisateurs vers un site avec un code d’exploitation, montre que le programme malveillant de vol de mots de passe d’accès à un client FTP a été utilisée. Ce programme a permis de voler le mot de passe depuis l’ordinateur utilisé pour accéder au site.

Auteurs

Usines à profits

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Des mêmes auteurs

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception

Dans la même catégorie

Derniers posts
Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception

© 2021 AO Kaspersky Lab. All Rights Reserved.
Registered trademarks and service marks are the property of their respective owners.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception