[ad_1]

Les escrocs qui créent des botnets à l’aide de kits de logiciels criminels SpyEye et Zeus expriment activement leur frustration face à deux services Web qui aident les FAI et les entreprises à empêcher les machines infectées de communiquer avec les réseaux de contrôle gérés par ces botmasters. Les efforts déployés par les cybercriminels établis pour désactiver et discréditer ces services anti-fraude fournissent une preuve convaincante que les services fonctionnent comme prévu et que les malfaiteurs en souffrent financièrement.

Les créations de l’expert suisse de la sécurité Roman Hüssy, ZeusTracker et son service soeur Traqueur SpyEye ont enduré d’innombrables déni de service distribué (DDoS) des botmasters apparemment en représailles pour avoir fait répertorier leur infrastructure réseau par ces services. À un moment donné, quelqu’un a écrit un faux suicide au nom de Hüssy et l’a distribué à sa famille et à ses amis, incitant la police locale à le réveiller de son sommeil pour enquêter sur son bien-être. Mais ces attaques n’ont pas dissuadé Hüssy ni écarté ses services.

Maintenant, les attaquants commencent à envisager des moyens plus furtifs et plus diaboliques de riposter. Une série de discussions sur un forum en langue russe ultra-exclusif qui s’adresse aux voleurs d’identité et de cartes de crédit révèle que les botmasters s’impatientent dans leur recherche d’une solution qui mettra Hüssy et/ou ses services de suivi hors service une fois pour toutes (cliquez sur les images de ce post deux fois à lire).

« Le DDoSing n’apporte pas de résultats satisfaisants. Nous travaillons maintenant sur la cartographie de toute son infrastructure, signalons ses scripts », écrit un utilisateur nommé Sal, qui prétend se spécialiser dans la fourniture de serveurs à l’épreuve des balles. « Maintenant, nous allons nous lancer dans un assaut ciblé. Cela devrait être moins cher + devrait apporter des résultats au moins temporairement…. Faisons un remue-méninges ici.

D’autres membres se joignent à la discussion. L’un suggère de mettre en commun des fonds pour embaucher un tueur à gages. « Il est plus facile et plus productif d’utiliser simplement un fonds commun pour embaucher un tueur, et l’histoire est terminée », écrit l’utilisateur « Femar ». Un autre membre du forum nommé « Deviant » recommande de doser Hüssy avec du mercure organique. « Diméthylmercure – le fluide n’a pas de couleur. Une goutte sur votre main pénétrera dans des gants en latex épais. Le résultat létal est garanti dans un délai d’un mois.

Mais les membres du forum semblaient se regrouper autour d’une idée pour ensemencer les fichiers de configuration ZeuS et SpyEye (ceux qui répertorient l’emplacement des éléments clés du botnet, comme l’endroit où déposer les données volées) avec des sites Web légitimes. Leur objectif affiché ? Faire en sorte que SpyEye Tracker et ZeuS Tracker signalent des sites légitimes comme hostiles, et ainsi perdre leur crédibilité auprès des FAI qui s’appuient sur les trackers.

J’ai rattrapé Hüssy par message instantané hier et lui ai demandé s’il avait vu des fichiers de configuration SpyEye ou ZeuS contenant des sites légitimes. Il a juste ri.

« ZeusTracker vérifie si un serveur de commande et de contrôle est vraiment opérationnel avant de l’ajouter à la liste de blocage », a déclaré Hüssy. « Ces gars n’ont aucune idée du fonctionnement de ZeusTracker. »

Vers la fin du mois de février, un utilisateur nommé « Hobo » du forum criminel a relancé la discussion sur la prise en charge des créations de Hüssy, observant qu' »un mois s’est écoulé et que le traqueur est plus vivant que jamais ».

Sal répond en reconnaissant que le plan de la liste noire n’a pas semblé se dérouler. « Hobo, c’est trop cher de fermer. J’étais le seul à avoir l’initiative. Il serait moins coûteux de résoudre les problèmes de fonctionnement de notre système. Néanmoins, ce n’était pas un effort inutile. J’ai compris ce dont j’avais besoin [ZeusTracker] méthodes de travail, filtré de nombreux bots et obligé Roman Hussy à payer exactement ce qu’il m’a coûté. Nous nous sommes protégés, ainsi que mes clients. Pourtant, nous sommes intéressés à travailler activement contre le tracker, mais j’ai besoin de personnes qui partagent mes idées, car je n’ai pas beaucoup de temps à consacrer à cela. Moi et mes employés n’avons pas le temps de faire fonctionner TOUTES les idées que nous avons accumulées ici. Et je vais le dire maintenant – je n’ai pas besoin d’argent. J’ai besoin de participation.

Sal termine en notant avec ironie qu’avoir ZeusTracker et SpyEyeTracker n’est pas si mal, car il a tendance à faire du bon travail pour tuer les botnets gérés par des pirates novices qui ne savent pas faire attention aux services.

« PS – ceci s’adresse aux personnes qui hébergent ici, si vous avez appris à combattre le tracker, l’avoir autour est assez précieux car tous les débutants et les utilisateurs de versions de chevaux de Troie accessibles au public tombent rapidement avec, mais mon altruisme mourra dernier! »

Il semble que la dernière salve contre les projets de Hüssy vienne directement de l’auteur de SpyEye lui-même : selon un article de blog à partir de Laboratoire de recherche RSA FraudAction, la dernière version de SpyEye est livrée avec un plug-in configuré pour attaquer le domaine SpyEye Tracker dédié au suivi des serveurs de commande et de contrôle SpyEye. De ce poste :

« Il convient de noter que les versions plus récentes de SpyEye prennent en charge l’inclusion de modules séparés, sous la forme de DLL distinctes. Le constructeur du cheval de Troie est même vendu avec un kit de développement logiciel (SDK), pour faciliter le développement de nouveaux modules par les botmasters individuels. Cela permet aux cybercriminels de créer indépendamment divers plug-ins, comme le plug-in DDoS que nous avons tracé, et de les inclure dans leurs propres variantes SpyEye. »

RSA a déclaré avoir également trouvé une variante de SpyEye qui utilise les fausses listes de fichiers de configuration discutées dans le forum des fraudeurs.

« Le FraudAction Research Lab a récemment découvert ce type exact de configuration contaminée dans une variante de SpyEye 1.3.10 (la dernière version de SpyEye vue à ce jour). En plus des véritables points de chute de SpyEye — collectors.txt — le fichier utilisé pour configurer les points de chute du cheval de Troie s’est avéré contenir des domaines légitimes, tels que google.com, myspace.com et vkontakte.ru (un réseau social russe populaire) .”

Ce n’est pas souvent que nous obtenons un tel détail au niveau du sol sur la façon dont les criminels perçoivent l’efficacité des contre-mesures déployées contre eux. Mais il ressort clairement de ces discussions et d’autres sur ce forum que les botmasters continueront à concevoir de nouvelles méthodes pour désactiver les trackers. Comme le dit Sal, l’élevage de bots est un métier, pas un passe-temps.

« Je ne fais pas ça comme passe-temps », a-t-il écrit. « Vous pensez que j’ai peur de quoi que ce soit ? Je n’ai pas le temps d’avoir peur. Je travaille. »

Mise à jour, 9 h 54 HE : Une entité qui fournit des services DNS à ZeuSTracker et SpyEye Tracker m’a envoyé les données suivantes montrant les récents pics de trafic dus aux attaques DDoS.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *