Articles

Chameleon : un botnet coûtant plus de 4,6 millions d’euros aux annonceurs publicitaires

L’entreprise de sécurité Spider.io a identifié un réseau Botnet, surnommé Chameleon, qui permet aux cybercriminels de générer plus 4,6 millions d’euros de revenus publicitaires.

Le botnet Chameleon est remarquable par la taille de son incidence financière: un coût pour les annonceurs de plus de 4,6 millions de dollars par mois, il est au moins 70 fois plus couteux que le botnet Bamital, qui a été stoppé le 6 Février 2013 par Microsoft et Symantec. Toutefois, le botnet Chameleon est sans doute plus connu pour le fait que c’est le botnet d’abord trouvé à avoir des répercussions sur les annonceurs d’affichage à l’échelle (par opposition au texte-lien annonceurs).

Plus de 120.000 machines hôtes ont été identifiées à ce jour. 95% de ces machines accèdent au Web à partir d’adresses IP publiques localisées aux États-Unis.

Selon Spider.io, le botnet cible au moins 202 sites avec un fort impact. Sur les 14 milliards d’impressions publicitaires totales enregistrées sur ces sites chaque mois, au moins 9 milliards d’euros sont générés par le botnet. C’est-à-dire que 65% du trafic est produit par le botnet.

Chameleon est un botnet sophistiqué, il ne se contente pas de générer des clics pour augmenter les revenus mais il simule également les mouvements de la souris pour se confondre avec le comportement d’un internaute lambda qui visiterait un site.

Retrouvez l’analyse complète de Spider.io [ici]

Proxybox : un réseau de proxy au service des cybercriminels

Selon les chercheurs en sécurité de Symantec, des cybercriminels utilisent des ordinateurs infectés par un logiciel malveillant pour alimenter un service commercial de proxy.

Il ya trois mois, les chercheurs de Symantec ont ouvert une enquête sur un malware appelé Backdoor.Proxybox qui était connu depuis 2010 mais dont l’augmentation de l’activité les interpellé.

«Notre enquête a révélé une opération malveillante, nous donnant des informations intéressantes sur le fonctionnement et la taille de ce botnet » a déclaré Joseph Bingham, chercheur chez Symantec.

Le programme malveillant est de type cheval de Troie avec des fonctionnalités rootkit qui transforment l’ordinateur en un serveur proxy. Les opérateurs du réseau de zombies vont donc l’utiliser pour alimenter un service de proxy commercial appelé Proxybox.name.

Parce qu’on ne peut pas cacher l’IP réelle d’un utilisateur, les serveurs proxy sont couramment utilisés pour échapper aux tentatives de censure en ligne, contourner les restrictions fondées sur la région d’accès au contenu, ou dans de nombreux cas, procéder à diverses activités illégales.

Entièrement anonymes et transparents, les serveurs proxy SOCKS peuvent acheminer le trafic pour n’importe quelle application, et non pas seulement les connexions par navigateur. Ils sont aussi difficiles à localiser, et c’est exactement ce que propose le service Proxybox.

Selon le site Proxybox, pour 25 $ par mois, les clients peuvent avoir accès à 150 serveurs proxy à partir des pays qu’ils désirent, et pour 40 $, ils peuvent avoir accès à un nombre illimité de proxy. Les opérateurs de services promettent de ne pas conserver les logs d’accès, ce qui rend ces serveurs parfait pour une utilisation criminelle car il n’y aura pas de journaux pour les autorités qui souhaiteraient enquêter.

Après avoir étudié les serveurs de commande et de contrôle du Botnet, les chercheurs de Symantec pensent  qu’il y a environ 40.000 machines actives contre 2000 selon le site de ProxyBox

Le malware Proxybox est distribué par divers moyens, y compris par des attaques de type drive-by download lancées à partir de sites Web compromis via des exploits commerciaux comme Blackhole.

Les risques pour les utilisateurs dont les ordinateurs sont infectés par Backdoor.Proxybox sont importants. Car si des serveurs proxy non autorisées sont en cours d’exécution sur leurs systèmes, leurs adresses IP pourrait être impliquée dans diverses activités illégales à leurs insu et reconnus comme responsable des dommages causés à des tiers.

[Source]

ZeroAccess : un botnet pouvant générer 100 000 $ / jour

Le laboratoire Sophos vient de publier un rapport d’étude portant sur le Malware ZeroAccess.

ZeroAccess est un Malware extrêmement répandue qui tourmente les individus et les entreprises depuis des années. Il a évolué au fil du temps pour répondre aux nouvelles architectures et aux nouvelles versions de Windows.

Les chercheurs de Sophos avaient étudiés et décries les versions précédentes de ZeroAccess. Les PC des victimes prenaient part un botnet peer-to-peer qui permettait de recevoir des instructions de la part de leur Centre de Commande et de Contrôle afin de pouvoir télécharger d’autres malwares.

Plus récemment, ils ont analysé la façon dont ZeroAccess a pris un tournant majeur dans sa stratégie en fonctionnant entièrement en mémoire. De ce fait, le laboratoire Sophos a décortiqué la dernière version de ZeroAccess et l’ensemble de son réseau de botnet.

ZeroAccess s’appuie sur un réseau peer-to-peer pour télécharger des fichiers qui effectuent des tâches variées destinées à générer des revenus pour les propriétaires de botnets. Les chercheurs ont surveillé ce réseau pendant une période de deux mois pour découvrir où étaient localisés les Centres de Commandes et quel type de fichiers, le botnet était chargé de récupérer.

La version actuelle du Malware  a été installée plus de 9 millions de fois et il est actuellement présent sur un million de machines à travers le monde. Le plus grand nombre de machines infectées a été trouvé aux USA, au Canada et en Europe occidentale.

Le Botnet est utilisé pour deux objectifs principaux : faire de la fraude aux clics (cliquer automatiquement sur des annonces publicitaires génératrices de revenus) et exploiter de la monnaie électronique Bitcoin.

Théoriquement si le Botnet ZeroAccess est utilisé avec toutes ses capacités, il peut générer 100 000 dollars par jour.

Retrouvez le rapport complet de Sophos [ici]

Pastebin en plein dans une attaque DDoS

Pastebin.com subit actuellement une attaque de type DDoS, un communiqué a été publié afin d’expliquer et de s’excuser pour les désagréments causés.

D’après les responsables du site, 27000 adresses IP ont été bloquées afin de limiter l’attaque, mais le  nombre de machines participantes ne cesse d’augmenter. On notera toutefois, la pédagogie du communiquée qui explique clairement la méthode d’attaque ainsi que le fait que les utilisateurs ne sont certainement pas au courant de l’usage qui est fait de leur machine par un réseau Botnet. Pastebin a également décidé de publier la liste des adresses IP bloquées sur un serveur externe à leur service.

Pastebin est une plate-forme servant aux développeurs à échanger des lignes de code, c’est aussi sur ce site que l’on découvre régulièrement les informations volées suite à des intrusions dans des bases de données (login, mots de passe, emails…).

Retrouvez la liste des adresses IP bloquées [ici]

Les réseaux botnets se fortifient

La dernière version du malware Zeus/SpyEye montre un changement qui pourrait nuire à la capacité des experts en sécurité à lutter contre les réseaux botnets et de retrouver les cybercriminels qui sont derrières.

Selon les chercheurs de Symantec, les machines zombies pourraient communiquer entre elles via un système P2P (peer-to-peer) avec la capacité de se transmettre des fichiers de configuration entre bots sans passer par un centre de Commande et de Contrôle (C&C). Cela signifie que chaque machine infectée agit comme un serveur C&C.

De ce fait, un tel réseau est immunisé à un retrait de Serveur C&C et il devient beaucoup plus compliqué de lutter contre les réseaux botnets. Là où il suffisait d’éradiquer un centre de commande pour faire tomber un réseau botnet, il faudra maintenant s’attaquer à toutes les machines du réseau malveillant.

Les Malnets ont augmenté de 240% en 2011

En 2011, l’évolution la plus significative dans le paysage des menaces a été, selon Blue Coat Systems, l’utilisation des réseaux malveillants ou « malnets » permettant de lancer des attaques très dynamiques.

Ces infrastructures complexes, qui survivent aux contre-attaques, ont augmenté de 240 % dans le nombre de sites malveillants au cours de l’année dernière et sont attendues comme sources des deux tiers des attaques en 2012.

Les malnets sont des infrastructures réseaux construites, gérées et entretenues par les cybercriminels dans le but de lancer une série d’attaques contre les utilisateurs non-avertis sur de longues périodes de temps. La finalité typique est de voler des informations personnelles ou d’intégrer les utilisateurs finaux dans des réseaux de botnets.

Selon Chris Larsen, chercheur chez Blue Coat Systems « la facilité de l’achat, de la personnalisation et du déploiement des kits de logiciels malveillants couplés avec une rotation plus rapide des noms de domaines, ont conduit à cette augmentation […] En moyenne, les entreprises font face à 5000 menaces par mois ».

Coopération internationale réussite contre des cyber-criminels

Le FBI et la police Estonienne ont fait tomber un réseau de botnets comprenant plus de 4 millions d’ordinateurs infectés dans une opération baptisée « Ghostclick ».

Le FBI a perquisitionné deux centres de données à New York et à Chicago qui avaient une infrastructure de commandement et de contrôle comprenant plus de 100 serveurs. Dans le même temps la police estonienne a arrêté six cyber-criminels présumés en Estonie. Les Etats-Unis cherchent à les extrader.

Le groupe de cybercriminel utilisait un Malware de type DNSChanger et manipulait les annonces de publicité sur Internet en générant des profits d’au moins 14 millions de Dollars. Dans certains cas, le malware a eu l’effet supplémentaire d’empêcher la mise à jour des Anti-virus et Systèmes d’Exploitation des machines infectées.

Le FBI a déclaré qu’ils étaient organisés et fonctionnaient comme une entreprise traditionnelle mais en profitant illégalement des bienfaits du Malware. Ils contrôlaient à chaque étape, de l’infection par cheval de Troie jusqu’à la monétisation des machines zombies. Leur base était en Estonie où une société de Droit légal, appelé « Rove Digital », supervisait le tout.

On retrouve ici un bel exemple de coopération internationale dans la lutte contre la cyber-criminalité.