Les cyberescrocs ont commencé aujourd’hui à prendre des mesures pour ressusciter le Gameover ZeuS botnet, une machine criminelle complexe qui a été accusée d’avoir volé plus de 100 millions de dollars aux banques, aux entreprises et aux consommateurs du monde entier. La tentative de relance intervient environ cinq semaines après que le FBI a rejoint plusieurs nations, chercheurs et entreprises de sécurité dans un effort mondial et jusqu’à présent réussi pour l’éradiquer.
Les chercheurs qui ont aidé à démanteler Gameover Zeus ont déclaré qu’ils étaient surpris que les botmasters n’aient pas riposté. En effet, depuis un mois, les escrocs responsables semblent avoir fait profil bas.
Mais cela a changé plus tôt ce matin lorsque des chercheurs de Malcovery [full disclosure: Malcovery is an advertiser on this blog] a commencé à remarquer que le spam était diffusé avec des leurres de phishing qui comprenaient des fichiers zip piégés par des logiciels malveillants.
En regardant de plus près, la société a découvert que le logiciel malveillant partage environ 90 % de sa base de code avec Gameover Zeus. Une partie de ce qui a rendu le GameOver ZeuS original si difficile à arrêter était sa dépendance en partie sur un mécanisme peer-to-peer (P2P) avancé pour contrôler et mettre à jour les systèmes infectés par les bots.
Mais selon Gary Warnercofondateur et technologue en chef de Malcovery, cette nouvelle variante de Gameover est dépourvue du code P2P et s’appuie plutôt sur une approche connue sous le nom de hébergement fast-flux. Fast-flux est une sorte de technique circulaire qui permet aux botnets de cacher des sites de phishing et de diffusion de logiciels malveillants derrière un réseau en constante évolution de systèmes compromis agissant comme des proxys, dans le but de rendre le botnet plus résistant aux démontages.
Comme le Gameover original, cependant, cette variante comprend également un « algorithme de génération de nom de domaine » ou DGA, qui est un mécanisme de sécurité qui peut être invoqué en cas de défaillance du système de communication normal du botnet. La DGA crée chaque semaine une liste de noms de domaine en constante évolution (des domaines charabia qui sont essentiellement de longs pêle-mêle de lettres).
Dans le cas où les systèmes infectés par le malware ne peuvent pas atteindre les serveurs fast-flux pour les nouvelles mises à jour, le code demande aux systèmes bottés de rechercher les domaines actifs dans la liste spécifiée dans le DGA. Tout ce que les botmasters doivent faire dans ce cas pour reprendre le contrôle de sa machine criminelle est d’enregistrer un seul de ces domaines et d’y placer les instructions de mise à jour.
Warner a déclaré que le botnet Gameover original qui a été saboté le mois dernier est toujours verrouillé et qu’il semble que celui qui a publié cette variante tente essentiellement de reconstruire le botnet à partir de zéro. « Cette découverte indique que les criminels responsables de la distribution de Gameover n’ont pas l’intention d’abandonner ce botnet même après avoir subi l’une des prises de contrôle et des démontages de botnet les plus expansifs de l’histoire », a déclaré Warner.
Gameover est basé sur le code du cheval de Troie ZeuS, une tristement célèbre famille de logiciels malveillants qui a été utilisée dans d’innombrables cambriolages bancaires en ligne. Contrairement à ZeuS – qui était vendu comme un kit de création de botnet à quiconque avait quelques milliers de dollars en monnaie virtuelle à dépenser – Gameover ZeuS est depuis octobre 2011 contrôlé et maintenu par un noyau de hackers de Russie et d’Ukraine. On pense que ces personnes ont utilisé le botnet dans des prises de contrôle de comptes d’entreprise à forte valeur ajoutée qui ont souvent été ponctuées d’attaques massives par déni de service distribué (DDoS) destinées à empêcher les victimes de remarquer immédiatement les vols.
Selon le ministère de la Justice, Gameover a été impliqué dans le vol de plus de 100 millions de dollars en prises de contrôle de compte. Selon le département américain de la justice, l’auteur du cheval de Troie ZeuS (et par extension du malware Gameover Zeus) serait un citoyen russe nommé Evgueni Mikhaïlovitch Bogatchev.
Pour plus de détails, consultez Malcovery’s article de blog sur cette évolution.