L’homme arrêté en Arménie la semaine dernière pour avoir prétendument exploité l’énorme botnet « Bredolab » – un réseau de quelque 30 millions de PC Microsoft Windows piratés qui ont été loués à des cyber-escrocs – semble avoir généré une grande partie de sa clientèle en tant qu’affilié de Spamit.coml’opération mondiale de spam dont les membres sont accusés d’envoyer la majorité des spams pharmaceutiques dans le monde.
Les autorités arméniennes ont arrêté un homme de 27 ans Georg Avanesov soupçonné d’être le conservateur de Bredolab, un botnet qui infectait environ 3 millions de PC par mois par le biais d’e-mails chargés de virus et de sites Web piégés. L’arrestation résulte d’une enquête conjointe entre la police arménienne et des cyberdétectives aux Pays-Bas, dont les FAI abritaient au moins 143 serveurs utilisés pour diriger les activités du botnet. Parallèlement à l’arrestation et au débranchement de ces serveurs, les fournisseurs de services néerlandais ont commencé à rediriger les internautes locaux vers une page de désinfection et de nettoyage si leurs PC montraient des signes d’infections par Bredolab.
Les enquêteurs affirment qu’Avanesov gagné jusqu’à 139 000 USD par mois louer le botnet à des criminels qui l’ont utilisé pour envoyer des spams et pour installer des logiciels malveillants voleurs de mots de passe. Avanesov, qui aurait gagné des millions au cours d’une carrière de plus d’une décennie, a été arrêté après avoir sauté d’un vol de Moscou à son domicile à Erevan, la capitale arménienne.
Pim Takkenbergchef d’équipe de l’unité High Tech Crime de la police néerlandaise, a déclaré qu’Avanesov utilisait fréquemment les alias des pirates. « padonaque » et « Atata », et a utilisé pendant de nombreuses années l’adresse e-mail « [email protected] ». Le domaine padonaque.info a longtemps été associé à une variété de mal intentionné Les familles de logiciels et les logiciels malveillants qui l’habitaient autrefois reflètent la clientèle variée qu’Avanesov a attirée au fil des ans, selon les enquêteurs.
Avatar ICQ d’Atata
Selon les informations obtenues par BreachTrace, cette adresse e-mail et ce surnom Atata ont été utilisés pour enregistrer au moins deux comptes affiliés sur spamit.com. Les ventes de pharmacies en ligne lui générant moins de 2 000 dollars par mois au cours des dernières années, Atata n’attirait pas autant que les meilleurs salariés du programme, dont certains gagnaient six chiffres par mois en faisant la promotion de pilules contrefaites via le spam. Mais Takkenberg et d’autres disent qu’il est probable qu’Atata ait utilisé Spamit comme lieu d’inscription de nouveaux clients intéressés par la location de son botnet Bredolab pour promouvoir leurs sites de pharmacie.
« La principale chose qu’il a faite a été de créer ce botnet – principalement en utilisant de nombreux sites Web piratés », a déclaré Takkenberg. « Ensuite, il a vendu des parties de ce botnet à d’autres clients, qui pouvaient télécharger leurs propres chargeurs de logiciels malveillants, FTP [password] accapareurs, tout ce qu’ils voulaient.
Par exemple, une partie en plusieurs parties Binaire Bredolab publié en décembre 2009 et mal détecté par la plupart des principales sociétés d’antivirus contenait un composant malveillant portant son surnom (« atata.exe »), en plus de fichiers de charge utile malveillants qui utilisaient les surnoms d’autres affiliés de spamit.com, y compris « Birdie » et « Corago ».
Des preuves de la connexion entre les membres de Bredolab et de Spamit.com ont fait surface lorsque les enquêteurs russes ont annoncé qu’ils avaient déposé des accusations criminelles contre Igor Gusevun homme que certains ont longtemps soupçonné du cerveau Glavmed.com, le plus grand programme d’affiliation au monde pour la promotion des pharmacies en ligne. Comme BreachTrace.com l’a noté pour la première fois il y a plusieurs semaines, Spamit.com – qui, selon les experts en matière de spam, était un sous-groupe intégral de Glavmed – a fermé ses portes fin septembre, provoquant une baisse importante mais temporaire du nombre de courriers indésirables. envoyé dans le monde entier.
Pour sa part, Gusev a nié toute affiliation avec le spam et a déclaré Les nouvelles de Moscou et un autre quotidien russe que l’homme responsable d’avoir porté de fausses accusations contre lui n’était autre que son ennemi juré Pavel Vrublevsky, le fondateur de la société russe de traitement des paiements Chronopay et quelqu’un sur qui j’ai longuement écrit sur ce blog Dans un blog prétendument écrit par Gusev lui-même, le chef présumé de Glavmed/Spamit dit que lui et Vrublevsky étaient des partenaires commerciaux lorsque Chronopay en était à ses balbutiements.
Invité à commenter, Vrublevsky a déclaré: « Je ne peux pas commenter quoi que ce soit de Gusev, car je pense qu’il doit d’abord répondre à ses propres accusations. »