Les volumes mondiaux de spam ont chuté brutalement au cours des deux derniers mois, en grande partie grâce à l’arrêt des courriers indésirables provenant de Rustock – jusqu’à récemment, le botnet de spam le plus actif au monde. Mais les experts disent que les pirates derrière Rustock ont depuis déplacé les ressources du botnet vers d’autres activités lucratives, telles que l’installation de logiciels espions et publicitaires.
La baisse du spam a commencé début octobre, peu de temps après la fermeture de Spamit, un programme d’affiliation russe qui payait les fournisseurs de courrier indésirable pour promouvoir Pharmacie canadienne sites de pilules de marque. Le graphique ci-dessous, de Laboratoires de sécurité M86montre une forte baisse des niveaux globaux de spam d’octobre à fin 2010.
Un autre graphique de M86 montre que le spam de Rustock a positivement chuté après la fermeture de Spamit. Rustock est indiqué par la ligne bleu pâle près du haut du graphique.
Avant la fermeture de Spamit, Rustock était responsable de l’envoi d’un pourcentage énorme de tous les spams dans le monde, a rapporté M86. Mais depuis le jour de Noël, le botnet Rustock a pratiquement disparu, car le nombre de messages indésirables est tombé en dessous de 0,5 % de tous les spams, selon des chercheurs de Symantecl’unité anti-spam de MessageLabs.
Il s’avère que d’autres botnets de spam sont également MIA depuis Noël : « Le Léthique botnet est silencieux depuis le 28 décembre, et le Xarvester botnet est devenu silencieux le 31 décembre », écrit Symantec Éric Parc.
Statistiques de SpamCopprésentés dans le graphique ci-dessous, illustrent également une baisse substantielle des volumes de spam, en particulier au cours de la dernière semaine de 2010.
Mardi, j’ai interviewé Phil Hay, analyste principal des menaces chez M86, sur les raisons possibles du déclin. Hay a déclaré que des robots individuels infectés par le malware Rustock téléphonaient toujours aux serveurs de contrôle Rustock, qui semblaient répondre avec des instructions pour télécharger des fichiers. Mais il a dit que les fichiers ne semblaient avoir rien à voir avec du spam.
J’ai demandé à Hay s’il était possible que Rustock soit simplement utilisé pour installer des logiciels espions et publicitaires pour des programmes affiliés qui paient des gens pour générer des installations. c’est un moyen très fiable pour les propriétaires de botnet de gagner de l’argent. Hay a dit qu’il vérifierait et me recontacterait.
Aujourd’hui, j’ai reçu la réponse suivante :
« Bonjour Meguetaoui. Après vous avoir parlé aujourd’hui, nous avons eu un autre regard sur Rustock. Alors qu’il était encore silencieux sur le front du spam, nous avons remarqué que le logiciel malveillant effectuait ce qui semble être une fraude au paiement par clic. Lorsque nous avons revérifié nos anciens fichiers de trace Rustock de décembre, nous avons également remarqué le même type de trafic. Nous l’avons raté la première fois parce que le volume considérable de trafic lié au spam a éclipsé le trafic au paiement par clic. Ainsi, Rustock spammait et « cliquait » simultanément, mais maintenant, il ne fait que cliquer. L’image ci-jointe provient du trafic de Rustock aujourd’hui. Il montre une requête GET faite à www.gamecetera.com avec un référent défini sur playdrom.com. Parmi les autres sites auxquels nous avons vu Rustock faire des demandes aujourd’hui, citons :
Ricead.com
Funklicks.com
Bannerflux.com
Gamesbannernet.com
Mochimedia.com
GirlGamesBanner.com
Mise à jour, 10 janvier, 18 h 13 HE : Comme nombreuses des chercheurs ont noté, Rustock semble être revenu à ses anciennes méthodes de spam pharmaceutique du jour au lendemain.