- Courrier indésirable
- Sites
- Codes d’exploitation
- Bot
- Cheval de Troie pour le vol de mots de passe
- Téléchargement d’autres applications malveillantes
- Plan de l’attaque
- Conclusion
- P.S.
Cet article est consacré à l’étude des messages non sollicités et s’intéresse aux techniques utilisées par les cybercriminels aujourd’hui pour créer des réseaux de zombies et diffuser des spams dans l’unique objectif de s’enrichir.
Courrier indésirable
Au début de l’été 2009, les experts du laboratoire de Kaspersky Lab ont commencé à recevoir des messages qui, à première vue, ressemblaient en tout point au courrier indésirable traditionnel. Il s’agissait de publicités pour des médicaments dans une présentation standard, à savoir code HTML et images insérées :
Exemple du message non sollicité envoyé à webmaster@viruslist.com
Toutefois, ces messages se différenciaient des autres par un élément. Les liens ne menaient pas vers les sites des spammeurs mais vers des pages HTML de sites légitimes.
Bien que les domaines de ces liens changeaient d’un message à l’autre, le chemin d’accès au serveur était toujours le même : «1/2/3/4/buy.html».
Texte original de la page Web redirigeant l’utilisateur vers le site des spammeurs
Sites
Il aurait été impossible de compromettre la majorité de ces sites à l’aide de méthodes traditionnelles. L’analyse superficielle de ceux-ci ne permit pas de mettre en évidence des vulnérabilités identiques, des technologies similaires de développement, etc. De plus, la majorité d’entre eux était programmée exclusivement en HTML, sans aucun script. Le seul point commun entre ces sites était l’existence du fichier « buy.html » qui contenait la balise HTML responsable de la redirection des utilisateurs vers le site du magasin en ligne vendant les médicaments.
Toutefois, l’analyse en profondeur du contenu d’un des sites compromis permit de découvrir un IFRAME très bien caché qui redirigeait l’utilisateur vers le site b9g.ru. Ceci attira tout de suite l’attention des experts car ces IFRAME avec un lien vers des sites suspects sont souvent utilisés par les cybercriminels pour infecter les ordinateurs d’utilisateurs à l’aide de codes d’exploitation.
Codes d’exploitation
L’étape suivante consistait à identifier ce qui était chargé sur les ordinateurs depuis l’adresse http://b9g.ru:****/*****.php. Comme il fallait s’y attendre, lors de la première visite du site, ce sont des codes d’exploitation qui étaient chargés et non pas index.php. Les cybercriminels utilisaient diverses vulnérabilités dans l’application. Les plus dangereuses et les plus efficaces étaient les codes d’exploitation des vulnérabilités dans le format PDF.
Bot
L’exploitation des vulnérabilités permettait de charger et d’installer le fichier exécutable Backdoor.Win32.Bredolab sur l’ordinateur des victimes. La fonction de ce programme malveillant avec un outil de dissimulation de l’activité est de charger et d’installer d’autres programmes malveillants.
Cheval de Troie pour le vol de mots de passe
Suite à la connexion du bot au centre de commande, le programme malveillant Trojan-PSW.Win32.Agent.mzh, développé pour voler les mots de passe d’accès aux clients FTP, est téléchargé et installé.
Une semaine plus tard, le centre de commande envoyait l’instruction de téléchargement des bots pour la diffusion de courrier indésirable tels que Rustock (Backdoor.Win32.HareBot) et Pushdo (Backdoor.Win32.NewRest.aq) ! Et après une semaine, un programme malveillant de la famille koobface et un antivirus fictif étaient installés sur les ordinateurs infectés. Cette petite enquête réalisée au départ d’un message non sollicité envoyé à l’adresse webmaster@viruslist.com permit de mettre en évidence le modus operandi des cybercriminels : La diffusion de messages non sollicités contenant des liens vers des sites compromis et infectés se poursuit. Les experts du laboratoire de Kaspersky Lab découvrent toutes les heures plusieurs dizaines d’adresses de ce genre de site. Les experts du laboratoire de Kaspersky Lab ont appris en juillet 2009 la nouvelle de l’attaque contre le célèbre torrent tracker Torrentreactor. L’insertion de balises qui redirigent les utilisateurs vers un site avec un code d’exploitation, montre que le programme malveillant de vol de mots de passe d’accès à un client FTP a été utilisée. Ce programme a permis de voler le mot de passe depuis l’ordinateur utilisé pour accéder au site.
Téléchargement d’autres applications malveillantes
Plan de l’attaque
Conclusion
Exemple de message non sollicité avec un lien vers un site compromis P.S.