Mais au delà de cette trouvaille déjà intéressante en terme de volumétrie, c’est le fonctionnement du cheval de Troie lui-même qui peut surprendre. En effet, si Infostealer.Gampass est généralement à l’origine de la capture, Trojan.Loginck a lui pour mission de « confirmer » les comptes dérobés, notamment en terme de validité du mot de passe et autres paramètres comme le niveau du personnage par exemple.

Alors, compte tenu du grand nombre de comptes à « vérifier » ainsi que des potentiels problèmes de verouillage d’un mot de passe après plusieurs essais depuis la même adresse IP, Trojan.Loginck  « dispatche » les tâches sur une multitude de bots. Ces machines remontent ensuite les résultats vers une base de données centrale (17 Go pour l’instant…).

Le but étant bien entendu la vente de ces données, mais à quel tarif et pour quel profit au final ?

Difficile à dire pour l’instant, bien que l’on puisse assez facilement évaluer la valeur potentielle de ces comptes en jettant un oeil sur des sites comme www.playerauctions.com ou www.gamewar.com. Bien que la revente de comptes soit prohibée par la plupart des jeux en lignes (comme signifié dans les EULAs) ces sites proposent une version sécurisée de ce type de commerce (à noter qu’il n’y a aucune preuve qu’ils puissent être impliqués dans la revente de comptes volés).

Voici des exemple des tarifs des plus élevés, histoire de se faire une idée du business potentiel :

Là, il y a même des soldes !

Moi, j’ai un Oui-Oui niveau 1 avec un tue-mouche en barbapapa…Combien tu me donnes ?

Cette commande permet à l’attaquant de faire appel à la fonction Text-to-speech de Windows…et ainsi faire parler la machine infectée !

La vidéo ici :

Dans quel but ? l’avenir nous le dira peut-être…

Rien de surprenant dans le classement des mots, un grand nombre de spams ciblant la vente de médicaments en ligne, pratique courante en Amérique du nord. A noter cependant que 5 des 6 premiers mots sont suivis d’un point d’exclamation. Sans doute pour souligner l’urgence de l’annonce et éviter que l’internaute ne prenne le temps de réfléchir…(si seulement !).

En poussant l’étude plus loin et en classant les spams par source, soit le botnet à l’origine de l’envoi, se dessinent alors des spécialisations. Je rappelle qu’à ce jour, plus de 90% des spams sont envoyés par des botnets.

Voici pour BAGLE :

GRUM :

RUSTOCK :

BOBAX :

Dans le cas des 4 botnets précédents, le nombre de mots reste limité car le but est d’inciter le lecteur à cliquer sur le lien associé, et le pousser à un achat, le plus vite possible. Plus de mots quand même pour Bobax, bien que le thème reste limité à un sujet précis…

un exemple ici :

CUTWAIL

Beaucoup plus de mots dans ce dernier. En effet, la plupart des spams envoyés par Cutwail cherchent pousser l’internaute à ouvrir une pièce jointe, et ainsi infecter sa machine. Thèmes plus variés, textes plus élaborés pour paraître plus réels, souvent même copiés de sources légitimes.

Un Spécimen :

Et sinon, pour créer votre propre nuage de mots-clefs, il y a http://www.wordle.net/ et d’autres…