Europol, Microsoft Kneecap Click-Fraud Botnet
Les autorités européennes ont rejoint Microsoft Corp. cette semaine en perturbant »ZéroAccès», un vaste botnet qui a asservi plus de deux millions de PC avec des logiciels malveillants dans un stratagème élaboré et lucratif pour escroquer les annonceurs en ligne.
L’action provient en partie de l’action d’Europol Centre européen de la cybercriminalité (EC3), ainsi que des unités de lutte contre la cybercriminalité d’Allemagne, de Lettonie, de Suisse et des Pays-Bas, pays qui hébergeaient de nombreux serveurs Internet utilisés pour contrôler le botnet ZeroAccess.
Parallèlement aux mesures d’application de la loi en Europe, Microsoft a intenté une action en justice pour démasquer huit cybercriminels distincts soupçonnés d’exploiter le botnet géant et pour bloquer les communications entrantes et sortantes entre les PC infectés aux États-Unis et ces 18 serveurs de contrôle, selon une déclaration publiée par EC3.
Le logiciel malveillant qui alimente le botnet, également connu sous le nom de « ZAccess » et « Sirefef », est une menace complexe qui a considérablement évolué depuis sa création en 2009. Il a commencé comme une plate-forme de diffusion de logiciels malveillants utilisée pour propager d’autres menaces, telles que de faux logiciel antivirus (alias « scareware »).
Ces dernières années, cependant, les malfaiteurs derrière ZeroAccess ont restructuré le botnet afin que les systèmes infectés soient forcés de perpétrer un stratagème lucratif connu sous le nom de « fraude au clic » – la pratique consistant à générer frauduleusement des clics sur des publicités sans aucune intention d’interagir de manière fructueuse avec le site de l’annonceur.
Cartes des PC infectés par ZeroAccess au Texas. Source : botnetlegalnotice.com
On ne sait toujours pas dans quelle mesure cette action coordonnée aura un impact sur les opérations de ZeroAccess à long terme. Les premières versions de ZeroAccess reposaient sur une série de serveurs de contrôle pour recevoir les mises à jour, mais les versions récentes du malware botnet ont été conçues pour rendre le réseau dans son ensemble plus résilient et résistant aux suppressions ciblées telles que celle exécutée cette semaine.
Plus précisément, ZeroAccess utilise une architecture peer-to-peer (P2P) dans laquelle de nouvelles instructions et charges utiles sont distribuées d’un hôte infecté à un autre. Les botnets P2P sont conçus pour éliminer un seul point de défaillance, de sorte que si un nœud utilisé pour contrôler le botnet est mis hors ligne, le reste du botnet peut toujours fonctionner.
Les actions de cette semaine semblent avoir ciblé les serveurs qui fournissent un composant spécifique de ZeroAccess qui donne aux systèmes infectés de nouvelles instructions sur la façon de frauder divers annonceurs en ligne, y compris Microsoft. Bien que cet effort ne désactive pas le botnet ZeroAccess (les systèmes infectés resteront probablement infectés), il devrait permettre à Microsoft de déterminer quels affiliés et éditeurs en ligne sont associés aux malfaiteurs derrière ZeroAccess, puisque ces éditeurs auront cessé d’envoyer du trafic directement après le retrait. eu lieu.
Pour l’instant, au moins, le véritable botnet ZeroAccess P2P semble fonctionner autrement normalement. mentionné Brett Stone-Grossun chercheur en sécurité chez Dell SecureWorks qui a a longuement étudié l’activité ZeroAccess (PDF).
« Le problème est que les opérateurs de botnet peuvent toujours facilement pousser un nouveau plugin via le réseau P2P pour redémarrer leurs activités de fraude au clic et de piratage des moteurs de recherche », a déclaré Stone-Gross.
Vous trouverez ci-dessous une capture d’écran d’un modèle récent téléchargé sur les machines infectées par ZeroAccess ; il comprend des informations dont les systèmes compromis auront besoin pour mener à bien de futurs stratagèmes de fraude au clic.
Il s’agit de la dernière d’une série de manœuvres juridiques que les avocats de Microsoft ont utilisées pour démanteler ou perturber les botnets qui ciblent les utilisateurs de Microsoft Windows. Comme pour une action de 2011 ciblant le botnet de spam « Rustock », Microsoft a dans ce cas invoqué La loi Lanhamlois fédérales qui interdisent la contrefaçon de marque, la dilution de marque et la publicité mensongère.
Une analyse de la taille estimée de ZeroAccess (ZA) et d’autres botnets P2P. Source : P2PWNED — Modélisation et évaluation de la résilience des botnets peer-to-peer lors du symposium IEEE sur la sécurité et la confidentialité, mai 2013
Microsoft a publié une énorme quantité d’informations sur ce botnet et sa stratégie d’application de la loi civile sur ce site Web. Restez à l’écoute pour d’autres mises à jour sur cette histoire.
Mise à jour, 6 décembre, 13 h 36 HE : Selon Stone-Gross, les opérateurs du botnet ZeroAccess ont publié hier soir un fichier de configuration à distribuer aux 2 millions de systèmes encore infectés par le bot malware. Le nouveau modèle « z00clicker » téléchargé par les méchants a temporairement remis en ligne le réseau de fraude au clic, a déclaré Stone-Gross, mais ce matin, les serveurs étaient à nouveau en panne. « Les gars de ZeroAccess ont ensuite poussé de nouveaux fichiers/plugins de configuration avec le message » DRAPEAU BLANC « », signalant peut-être que pour l’instant ils ne prévoient pas d’essayer de ressusciter le réseau de fraude au clic.
Séparément, Lance Jameschef du renseignement chez Deloittea confirmé que les nouveaux modules Z00clicker avaient été téléchargés peu de temps après que Microsoft et Europol ont annoncé leur action.