Au cours d’une semaine donnée, je lis au moins une douzaine de rapports et d’études, mais j’écris rarement à leur sujet car leurs conclusions sont évidentes ou semblent tendre à générer une demande pour des produits et services spécifiques. De temps en temps, cependant, un rapport viendra qui est si plein de données utiles – et résonne si fort avec certaines de mes propres enquêtes – qu’il m’oblige à réévaluer mes priorités immédiates en matière de recherche et de rapport.
Un rapport publié aujourd’hui qui tombe carrément dans cette dernière catégorie est Nart Villeneuveest superbement recherché et analyse détaillée (PDF) de « Koobface », un vaste réseau d’ordinateurs piratés qui sont principalement compromis par des escroqueries d’ingénierie sociale diffusées parmi les utilisateurs de Facebook.com (Koobface est un anagramme de « Facebook »). Comme le décrit le rapport, l’infrastructure de Koobface est une machine criminelle alimentée par des gangs de cybercriminels liés à une variété de stratagèmes lucratifs impliquant le détournement de recherche de navigateur Web et l’installation de logiciels antivirus malveillants.
Ce rapport retrace la trace de l’activité de Koobface à travers les paiements effectués aux principaux partenaires criminels – connus sous le nom de Partnerka (PDF) – un mélange de groupes affiliés privés et semi-publics qui se forment pour faciliter la propagation coordonnée des logiciels malveillants.
Du rapport :
« Les opérateurs de Koobface maintiennent un serveur connu sous le nom de vaisseau-mère [which] agit en tant qu’intermédiaire entre les affiliés de logiciels de sécurité pay-per-click et voyous et les victimes compromises. Ce serveur reçoit les requêtes de recherche interceptées des ordinateurs des victimes et relaie ces informations aux affiliés pay-per-click de Koobface. Les affiliés fournissent alors des publicités qui sont envoyées à l’utilisateur. Lorsqu’un utilisateur tente de cliquer sur les résultats de la recherche, ils sont envoyés vers l’un des liens publicitaires fournis au lieu de l’emplacement prévu. De plus, Koobface recevra et affichera les URL vers les pages de destination des logiciels de sécurité escrocs ou poussera directement les fichiers binaires des logiciels de sécurité escrocs vers les ordinateurs compromis. En conséquence, les opérateurs de Koobface ont pu générer plus de deux millions de dollars sur une période d’un an.
Le rapport répertorie les surnoms des principaux affiliés de Koobface, indiquant les revenus de chacun au cours de l’année écoulée et les adresses Web de leurs programmes d’affiliation associés. C’est le type de renseignement qui, s’il est largement partagé, a le potentiel de perturber massivement les opérations criminelles à grande échelle, car les chercheurs en cybercriminalité peuvent l’utiliser pour donner un sens à des informations apparemment disparates sur des acteurs et des groupes criminels. Néanmoins, il est rare de voir ce genre de données brutes publiées, du moins tant que les personnes impliquées sont toujours en liberté.
La partie 3 du rapport, intitulée « The Takedown », indique que les opérations de fermeture de l’infrastructure Koobface sont peut-être déjà en cours. Plus tôt cette année, McAfee a publié une analyse que j’ai écrite sur les démantèlements qui les ont classés en deux groupes : les « Shuns » – qui cherchent à faire honte aux pairs d’un réseau malveillant de couper ses connexions – et les « stuns », qui font référence aux efforts visant à déconnecter l’infrastructure de contrôle physique et réseau utilisée par un botnet. Selon les auteurs du rapport, un étourdissement contre Koobface est en préparation.
« Avant la publication de ce rapport, des notifications ont été envoyées aux propriétaires de l’infrastructure dont Koobface abuse », écrit Villeneuve. «Ils comprennent: des comptes Facebook et Google frauduleux et volés, des identifiants FTP volés et des serveurs de commande et de contrôle dédiés. Nous travaillons à synchroniser la notification aux opérateurs de ces éléments afin d’avoir un impact sur les opérations du botnet Koobface.
Presque certainement plus à venir bientôt. Restez à l’écoute.
Gelezyaka.biz, l’un des programmes d’affiliation antivirus malveillants liés à Koobface