Il n’y a pas si longtemps, les malfaiteurs qui voulaient acheter un kit d’exploit – un logiciel automatisé qui aide les sites piratés à déployer du code malveillant – devaient être assez bien connectés, ou au moins avoir accès à des forums souterrains semi-privés. De nos jours, certains fabricants de kits d’exploitation font effrontément de la publicité et proposent leurs services au grand jour, commercialisant leurs produits en tant que «plates-formes de test de résistance» de la vulnérabilité des navigateurs.
Victimes du Styx Pack, par navigateur et version du système d’exploitation.
Nommé d’après le fleuve de la mythologie grecque qui sépare les simples mortels des enfers, le Styx exploit pack est un progiciel haut de gamme conçu pour l’underground mais commercialisé et entretenu au public styx-crypt[dot]com. Les fournisseurs de ce malware-as-a-service ont également mis un service d’assistance virtuel 24 heures sur 24 à la disposition des clients payants.
Les clients de Styx pourraient s’attendre à de telles subtilités pour le Étiquette de prix de 3 000 $ qui accompagne ce kit. Une source ayant accès à un panneau d’exploitation du kit Styx qui était apparemment autorisé par une équipe de méchants a partagé un aperçu de leurs opérations et du fonctionnement de cette offre de logiciel criminel relativement astucieuse.
Le panneau Styx que j’ai examiné est configuré pour être utilisé par une douzaine de comptes d’utilisateurs distincts, chacun d’entre eux semblant tirer parti du pack pour charger des composants malveillants qui ciblent différents schémas rémunérateurs. Le compte nommé « admin », par exemple, diffuse un fichier exécutable qui tente d’installer le rançongiciel Reveton.
D’autres comptes d’utilisateurs semblent cibler des victimes dans des pays spécifiques. Par exemple, les comptes d’utilisateurs « IT » et « IT2 » poussent des variantes du cheval de Troie bancaire ZeuS, et selon la page de statistiques de ce panel Styx, l’Italie était de loin la plus grande source de trafic vers les domaines malveillants utilisés par ces deux comptes. D’autres comptes apparemment axés sur les pays comprenaient « NL », AUSS » et « Adultamer » (« amer » est une insulte russe dérisoire utilisée pour décrire les Américains).
Les variantes du cheval de Troie ZeuS ciblant les victimes italiennes ont été détectées par moins de 5 outils antivirus sur 17.
Un kit d’exploit – également appelé « pack d’exploit » (Styx est commercialisé sous le nom de « Styx Pack ») est une boîte à outils logicielle qui est injectée dans des sites piratés ou malveillants, permettant à l’attaquant d’imposer un évier de cuisine plein d’exploits de navigateur aux visiteurs. Ceux qui visitent ces sites avec des plug-ins de navigateur obsolètes peuvent avoir installé des logiciels malveillants en mode silencieux.
Contrairement à d’autres kits, Styx ne donne pas une ventilation détaillée des exploits utilisés dans le panneau. Au contraire, le panneau que j’ai consulté faisait référence à ses exploits groupés par de simples numéros à deux chiffres. Cette installation particulière de Styx n’a utilisé que quatre exploits de navigateur, tous sauf un ciblant les vulnérabilités récentes de Java. Le kit faisait référence à chaque exploit simplement par les numéros 11, 12, 13 et 32.
D’après le considérable travail de jambes fait par Caféineun blogueur spécialisé dans la sécurité qui approfondit l’activité des kits d’exploitation, Styx Kit exploit #11 est susceptible d’être CVE-2013-1493une faille critique dans un plugin de navigateur Java que Java maker Oracle corrigé avec un correctif d’urgence en mars 2013. L’exploit 12 est presque certainement CVE-2013-2423un autre bogue Java critique qu’Oracle a corrigé en avril 2013. Dans un chat par messagerie instantanée, Kafeine dit que l’exploit #13 est probablement CVE-2013-0422une vulnérabilité Java critique qui a été corrigée en janvier 2013. Le dernier exploit utilisé par le kit que j’ai examiné, le numéro 32, correspond à CVE-2011-3402le même défaut de police Microsoft Windows exploité par le Cheval de Troie Duqu.
La page de statistiques de Styx rapporte que les sites piratés et malveillants utilisés par ce kit ont pu infecter environ un utilisateur sur 10 qui a visité les sites. Cette installation particulière de Styx a été mise en place le 24 juin 2013 et depuis lors, elle a infecté environ 13 300 PC Windows, le tout via ces quatre vulnérabilités (mais principalement les bogues Java).
Un modèle très intéressant que j’ai observé en fouillant dans ce pack d’exploits – et d’autres récemment – est la prévalence décroissante ou l’absence totale d’infections signalées par Google Chrome utilisateurs, et dans une moindre mesure utilisateurs de versions récentes de MozillaFirefox. Comme nous pouvons le voir sur le graphique en haut de cet article de blog, les utilisateurs naviguant avec Microsoft Internet Explorer constituaient la part du lion des victimes.
Cette installation de Styx signale l’installation de logiciels malveillants sur les systèmes d’une poignée d’utilisateurs de Firefox, et contre pas un seul utilisateur de Chrome. En fait, l’auteur de ce kit déclare librement dans un Q&A d’un fil de vente de forum clandestin que son kit ne fonctionne même pas contre Chrome. Pour une répartition complète des victimes par navigateur et système d’exploitation, consultez ce graphique.
Kafeine a déclaré que lui aussi avait remarqué un changement prononcé dans les pannes de navigateur de différents kits d’exploit.
« Pas beaucoup de kits d’exploitation [perform] très bien contre Chrome », a déclaré Kafeine, notant que Chrome et Firefox incluent désormais tous deux des lecteurs PDF intégrés, et que les exploits contre le lecteur PDF d’Adobe ont traditionnellement été un contributeur clé aux statistiques d’infection des kits d’exploitation.
Kafeine a déclaré qu’un gang de logiciels malveillants dont il a suivi le travail – une équipe du crime organisé qui utilise la variante Gameover ZeuS – n’essaie même pas d’infecter les utilisateurs de Chrome qui errent dans ses pièges à logiciels malveillants. Au lieu de cela, ces utilisateurs sont victimes d’une attaque d’ingénierie sociale qui tente de les inciter à installer le logiciel malveillant en le déguisant en une mise à jour du navigateur Chrome.
« Ces utilisateurs sont automatiquement redirigés vers une fausse page de mise à jour de Chrome », a déclaré Kafeine.
Pour plus de détails sur Styx et les différentes saveurs de ce kit d’exploit qui ont émergé ces derniers mois, consultez ces articles de blog :
Styx Exploit Kit tire parti des vulnérabilités
Analyse du kit d’exploitation Styx – Construire un pont vers le monde souterrain