Le vol de données personnelles est loin d’être un phénomène nouveau, mais toujours en progression. Preuve en est la découverte récente par l’équipe Symantec Security Response lors de l’analyse d’un nouveau maliciel, d’un serveur abritant 44 millions de comptes de jeux en ligne dérobés.
Mais au delà de cette trouvaille déjà intéressante en terme de volumétrie, c’est le fonctionnement du cheval de Troie lui-même qui peut surprendre. En effet, si Infostealer.Gampass est généralement à l’origine de la capture, Trojan.Loginck a lui pour mission de « confirmer » les comptes dérobés, notamment en terme de validité du mot de passe et autres paramètres comme le niveau du personnage par exemple.
Alors, compte tenu du grand nombre de comptes à « vérifier » ainsi que des potentiels problèmes de verouillage d’un mot de passe après plusieurs essais depuis la même adresse IP, Trojan.Loginck « dispatche » les tâches sur une multitude de bots. Ces machines remontent ensuite les résultats vers une base de données centrale (17 Go pour l’instant…).
Le but étant bien entendu la vente de ces données, mais à quel tarif et pour quel profit au final ?
Difficile à dire pour l’instant, bien que l’on puisse assez facilement évaluer la valeur potentielle de ces comptes en jettant un oeil sur des sites comme www.playerauctions.com ou www.gamewar.com. Bien que la revente de comptes soit prohibée par la plupart des jeux en lignes (comme signifié dans les EULAs) ces sites proposent une version sécurisée de ce type de commerce (à noter qu’il n’y a aucune preuve qu’ils puissent être impliqués dans la revente de comptes volés).
Voici des exemple des tarifs des plus élevés, histoire de se faire une idée du business potentiel :
Là, il y a même des soldes !
Moi, j’ai un Oui-Oui niveau 1 avec un tue-mouche en barbapapa…Combien tu me donnes ?
Un petit nouveau dans le bestiaire avec Trojan.Twebot, issu d’un outil créateur de BotNets dénommé « TwitterNet Builder ». Comme son nom l’indique, les messages de commandes sont transmis par l’intermédiaire d’un compte Twitter que le bot va « suivre ». Rien de vraiment nouveau ici, ce mecanisme ayant déjà identifié en août dernier. Mais cette fois, parmi les fonctions faisant traditionnellement partie des commandes disponibles pour ce type de réseau malveillant comme ».DOWNLOAD » pour forcer un téléchargement ou « .DDOS » pour lancer une attaque en déni de service distribué, on trouve la commande « .SAY » !!!
Cette commande permet à l’attaquant de faire appel à la fonction Text-to-speech de Windows…et ainsi faire parler la machine infectée !
L’idée de mes amis de MessageLabs est simple mais efficace : prendre un large échantillon aléatoire de spams sur une période d’une semaine, en extraire les mots significatifs puis dégager les tendances façon « nuage de mots-clefs » (la taille est proportionnelle à la fréquence), et voilà le résultat :
Rien de surprenant dans le classement des mots, un grand nombre de spams ciblant la vente de médicaments en ligne, pratique courante en Amérique du nord. A noter cependant que 5 des 6 premiers mots sont suivis d’un point d’exclamation. Sans doute pour souligner l’urgence de l’annonce et éviter que l’internaute ne prenne le temps de réfléchir…(si seulement !).
En poussant l’étude plus loin et en classant les spams par source, soit le botnet à l’origine de l’envoi, se dessinent alors des spécialisations. Je rappelle qu’à ce jour, plus de 90% des spams sont envoyés par des botnets.
Voici pour BAGLE :
GRUM :
RUSTOCK :
BOBAX :
Dans le cas des 4 botnets précédents, le nombre de mots reste limité car le but est d’inciter le lecteur à cliquer sur le lien associé, et le pousser à un achat, le plus vite possible. Plus de mots quand même pour Bobax, bien que le thème reste limité à un sujet précis…
un exemple ici :
CUTWAIL
Beaucoup plus de mots dans ce dernier. En effet, la plupart des spams envoyés par Cutwail cherchent pousser l’internaute à ouvrir une pièce jointe, et ainsi infecter sa machine. Thèmes plus variés, textes plus élaborés pour paraître plus réels, souvent même copiés de sources légitimes.
Un Spécimen :
Et sinon, pour créer votre propre nuage de mots-clefs, il y a http://www.wordle.net/ et d’autres…
