Le vol de données personnelles est loin d’être un phénomène nouveau, mais toujours en progression. Preuve en est la découverte récente par l’équipe Symantec Security Response lors de l’analyse d’un nouveau maliciel, d’un serveur abritant 44 millions de comptes de jeux en ligne dérobés.
Mais au delà de cette trouvaille déjà intéressante en terme de volumétrie, c’est le fonctionnement du cheval de Troie lui-même qui peut surprendre. En effet, si Infostealer.Gampass est généralement à l’origine de la capture, Trojan.Loginck a lui pour mission de « confirmer » les comptes dérobés, notamment en terme de validité du mot de passe et autres paramètres comme le niveau du personnage par exemple.
Alors, compte tenu du grand nombre de comptes à « vérifier » ainsi que des potentiels problèmes de verouillage d’un mot de passe après plusieurs essais depuis la même adresse IP, Trojan.Loginck « dispatche » les tâches sur une multitude de bots. Ces machines remontent ensuite les résultats vers une base de données centrale (17 Go pour l’instant…).
Le but étant bien entendu la vente de ces données, mais à quel tarif et pour quel profit au final ?
Difficile à dire pour l’instant, bien que l’on puisse assez facilement évaluer la valeur potentielle de ces comptes en jettant un oeil sur des sites comme www.playerauctions.com ou www.gamewar.com. Bien que la revente de comptes soit prohibée par la plupart des jeux en lignes (comme signifié dans les EULAs) ces sites proposent une version sécurisée de ce type de commerce (à noter qu’il n’y a aucune preuve qu’ils puissent être impliqués dans la revente de comptes volés).
Voici des exemple des tarifs des plus élevés, histoire de se faire une idée du business potentiel :
Là, il y a même des soldes !
Moi, j’ai un Oui-Oui niveau 1 avec un tue-mouche en barbapapa…Combien tu me donnes ?
Le petit logiciel de Connectify (1 Mo…) transforme votre machine sous Windows Seven en point d’accès wifi ! Bien pratique pour partager une connexion internet ou créer un réseau local sans-fil en trois clic pour nos ordis, iTrucs, BlackBidules…..
Evidement, le revers de la médaille est que l’on peut créer tout aussi simplement un point d’accès, disons, pas forcément désintéressé…voir mon article précédent : oh-trop-mortel-un-acces-wifi-gratuit
Un petit nouveau dans le bestiaire avec Trojan.Twebot, issu d’un outil créateur de BotNets dénommé « TwitterNet Builder ». Comme son nom l’indique, les messages de commandes sont transmis par l’intermédiaire d’un compte Twitter que le bot va « suivre ». Rien de vraiment nouveau ici, ce mecanisme ayant déjà identifié en août dernier. Mais cette fois, parmi les fonctions faisant traditionnellement partie des commandes disponibles pour ce type de réseau malveillant comme ».DOWNLOAD » pour forcer un téléchargement ou « .DDOS » pour lancer une attaque en déni de service distribué, on trouve la commande « .SAY » !!!
Cette commande permet à l’attaquant de faire appel à la fonction Text-to-speech de Windows…et ainsi faire parler la machine infectée !
Air connu…les cyber-arnaqueurs s’appuient sur l’actualité pour adapter leurs appâts. La Coupe du Monde de Football démarre en Afrique du Sud le 11 juin prochain. Pensez-vous qu’ils laisseront passer l’opportunité ?
Alors voici un site qui donne des détails utiles. Bon, c’est en anglais, mais si vous compter vous y rendre, c’est ça ou l’AFRIKAANS !
Puis, ici une interview de Philippe Verveer (ex-Directeur Technique du CIO) et de Candid Wueest (Expert Sécurité Symantec), toujours en anglais, mais l’un des deux est assez facile à comprendre ;-) :
Pour finir, en anglais toujours (to improve your english…), cette vidéo extrait de la série britanique : GUIDE TO SCARY INTERNET STUFF :
L’idée de mes amis de MessageLabs est simple mais efficace : prendre un large échantillon aléatoire de spams sur une période d’une semaine, en extraire les mots significatifs puis dégager les tendances façon « nuage de mots-clefs » (la taille est proportionnelle à la fréquence), et voilà le résultat :
Rien de surprenant dans le classement des mots, un grand nombre de spams ciblant la vente de médicaments en ligne, pratique courante en Amérique du nord. A noter cependant que 5 des 6 premiers mots sont suivis d’un point d’exclamation. Sans doute pour souligner l’urgence de l’annonce et éviter que l’internaute ne prenne le temps de réfléchir…(si seulement !).
En poussant l’étude plus loin et en classant les spams par source, soit le botnet à l’origine de l’envoi, se dessinent alors des spécialisations. Je rappelle qu’à ce jour, plus de 90% des spams sont envoyés par des botnets.
Voici pour BAGLE :
GRUM :
RUSTOCK :
BOBAX :
Dans le cas des 4 botnets précédents, le nombre de mots reste limité car le but est d’inciter le lecteur à cliquer sur le lien associé, et le pousser à un achat, le plus vite possible. Plus de mots quand même pour Bobax, bien que le thème reste limité à un sujet précis…
un exemple ici :
CUTWAIL
Beaucoup plus de mots dans ce dernier. En effet, la plupart des spams envoyés par Cutwail cherchent pousser l’internaute à ouvrir une pièce jointe, et ainsi infecter sa machine. Thèmes plus variés, textes plus élaborés pour paraître plus réels, souvent même copiés de sources légitimes.
Un Spécimen :
Et sinon, pour créer votre propre nuage de mots-clefs, il y a http://www.wordle.net/ et d’autres…
Le PASSEPORT DE CONSEILS AUX VOYAGEURS est un excellent document réalisé par l’ANSSI (Agence Nationale de la sécurité des systèmes d’information) qui reprend les bonnes pratiques pour les voyages à l’étranger notamment. Rien d’exceptionnel car le sujet est déjà bien connu, mais l’avantage d’une mise en forme agréable, au format « passeport », et une liste exhaustive des précautions à prendre. Voici les « bullets points » comme on dit chez nous; je conseille vivement de télécharger la version papier pour se faire une vraie idée.
Avant de partir :
Relisez attentivement et respectez les règles de sécurité édictées par votre organisme.
Prenez connaissance de la législation locale.
Utilisez de préférence du matériel dédié aux missions (ordinateurs, téléphones, supports amovibles, etc.).
Sauvegardez les données que vous emportez.
Evitez de partir avec vos données sensibles.
Emportez un filtre de protection écran pour votre ordinateur si vous comptez profiter des trajets pour travailler vos dossiers, afin dʼéviter que des curieux lisent vos documents par-dessus votre épaule.
Mettez un signe distinctif sur vos appareils (comme une pastille de couleur).
Pendant votre déplacement :
En cas dʼinspection ou de saisie par les autorités, informez votre organisme.
En cas de perte ou de vol d’un équipement ou d’informations, informez immédiatement votre organisme et demandez conseil au consulat avant toute démarche auprès des autorités locales.
N’utilisez pas les équipements qui vous sont offerts avant de les avoir fait vérifier par votre service de sécurité. Ils peuvent contenir des logiciels malveillants.
Evitez de connecter vos équipements à des postes ou des périphériques informatiques qui ne sont pas de confiance.
Avant le retour :
Transférez vos données
Effacez votre historique de vos appels et de vos navigations.
Après le retour :
Changez les mots de passe que vous avez utilisés pendant votre voyage
Analysez ou faites analyser vos équipements.
Qui voyage avec du courage dans ses bagages apporte avec lui le passeport le plus sage.
Daniel Desbiens
Joyeux anniversaire Conficker ! Enfin, si l’on peut dire, car c’était bien en janvier 2009 que le « phénomène » commençait à prendre de l’ampleur. Une année plus tard, c’est « Hydraq » qui défraye la chronique. Même si entre temps d’autres programmes malveillants ont fait parler d’eux, les caractéristiques globales de Conficker et Hydraq sont intéressantes à confronter, car finalement très différentes.
Ceci reste une vision très simplifiée de la situation à fin janvier; plus de détails techniques sont disponibles en suivant les liens proposés plus bas.
NON La vulnérabilité a été révélée conjointement à la mise à disposition d’un correctif
OUI Diffusion du correctif une semaine environ après la découverte de la vulnérabilité
Command & Control
Complexe Communication vers de multiples domaines créés de manière aléatoire, parallèlement au P2P.
Simple Un seul domaine codé « en dur », rapidement identifié et fermé.
Diffusion
Large Conficker s’est rapidement propagé sur des millions de machines, et reste actif à ce jour.
Réduite Hydraq est utilisé pour des attaques très ciblées et de ce fait très peu répandu, pour l’instant.
Systèmes de défense
Considérable Conficker embarque de nombreuses techniques pour se protéger
Faible Utilisation de la technique du « code spaghetti »
Système de mise à jour
Intégré Le système de mise à jour est très sophistiqué et automatisé.
Manuel La mise à jour est théoriquement possible mais non automatique.
Variantes
Plusieurs 3 variantes majeures (A,B,C) puis d’autres mineures
Non-significatif Quelques infimes variations du code.
Fonctionnalités
Pauvres Conficker se comporte plus comme une plateforme de téléchargement ouverte à d’autres activités malveillantes (BotNet, Facticiels…), voire à la location.
Riches Les options disponibles dans Hydraq autour de la prise de contrôle à distance sont puissantes, avec notamment la possibilité de « voir » la machine infectée via des outils de type VNC.
Motivation principale
Profits financiers Approche cybercriminelle « classique » qui cherche des profits rapides.
Vol d’information Un « retour sur investissement » à plus long terme, en fonction des informations dérobées.
Détection
Facile
Facile
Suppression
Complexe A cause des mécanismes d’auto-défense et des ré-infections successives au sein d’un réseau local
Aisée Aucune technique de camouflage
Mesures de protection
Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération.
Mise à jour OS, navigateurs et plug-ins les plus fréquentes possibles et suite de sécurité de dernière génération.
Globalement, Conficker est un maliciel dont le développement à surtout porté sur les vecteurs de propagation, les techniques de mise à jour et les mécanismes de défense, mais sans réel potentiel d’attaque une fois en place, misant sur le téléchargement ultérieur d’autres menaces. Hydraq en revanche, s’il reste plus simple en matière d’installation et d’auto-défense, possède un large panel de fonctionnalités à disposition de l’attaquant, jusqu’au contrôle complet de la machine, écran, clavier souris compris.
Voici d’ailleurs une vidéo très explicite :
Alors, approches différentes ou évolution plus profonde ? Plus certainement une adéquation au besoin et au but recherché. En tout état de cause, le soin et le temps consacré au développement et « lancement » de ces « produits » (estimation grossière de 3 à 4 mois pour Conficker, la moitié pour Hydraq) démontre les capacités techniques, organisationnelles des auteurs et/ou donneurs d’ordres, qu’il serait particulièrement dangereux de sous-estimer.
Mais il est évident qu’un tel lancement planétaire ne sera pas ignoré par les cyber-vilains. Comme déjà évoqué précédement, l’actualité reste la source privilégiée d’inspirations pour les arnaqueurs du net. Certains sites étant même très utiles en la matière : la page d’accueil de Twitter présente par exemple et en permanence les sujets les plus traités par la communauté.
Les grands évènements (Elections US, JO de Vancouver, Coupe du monde de foot…à noter le site 2010NetThreat traite ce précisément du sujet )
Les « marronniers » comme on dit dans la presse pour les évènements récurrents (Voeux, soldes, Saint Valentin…)
ou même des fausses informations si l’actu est pauvre…
Attendons-nous donc aux arnaques en tout genre autour du bidule d’Apple :
Spam et phishing via des site proposant des « pré-commandes »
Informations sur l’objet dans des documents infectés
Vidéos bidons, dont bien entendu le bon « codec » doit être téléchargé
ou encore l’affichage en « tête de gondole » (SEO poisonning) des moteurs de recherches, des sites « soi-disant » à fond sur le sujet, mais qui, dès le premier clic, trouve votre machine infectée ! Heureusement, on propose de règler le problème grâce à l’acquisition d’un anti-saleté spécifique (voir Facticiels)…
