De nouveaux logiciels malveillants apparaissent avec suffisamment de régularité pour garder les chercheurs et les journalistes en sécurité sur leurs gardes. Mais, assez souvent, il y a apparemment de nouveaux périls qui ne sont en réalité que de vieilles menaces qui ont été reconditionnées ou des rapports obstinément persistants qui sont soudainement découverts par un public plus large. L’un des plus grands défis auxquels est confrontée la communauté de la sécurité de l’information consiste à décider quelles menaces méritent d’être étudiées et traitées. Pour illustrer ce dilemme, j’ai analysé plusieurs titres d’actualités sur la sécurité que les lecteurs m’ont transmis cette semaine, et j’ai ajouté un peu plus d’informations issues de mes propres enquêtes.
J’ai reçu plus de deux douzaines d’e-mails et de tweets de lecteurs attirant mon attention sur la nouvelle que le code source du version 2.0.8.9 du Zeus crimekit a été divulgué en ligne pour que quiconque puisse le télécharger. À un moment donné l’année dernière, une nouvelle copie du cheval de Troie ZeuS avec toutes les cloches et sifflets rapportait au moins 10 000 $. En février, j’ai signalé que le code source de la même version était vendu sur des forums clandestins. Assez raisonnablement, la nouvelle de la fuite de la source était alarmante pour certains car elle suggère que même les pirates les plus indigents peuvent désormais se permettre de créer leurs propres botnets.
Un hacker proposant d’héberger et d’installer un serveur de contrôle pour un botnet ZeuS.
Nous pourrions voir une explosion de sites poussant ZeuS à la suite de cette fuite, mais cela ne s’est pas encore produit. Roman Hüssyconservateur de ZeusTracker, a déclaré dans un chat en ligne : « Je n’ai pas constaté d’augmentation significative des nouveaux réseaux de commande et de contrôle ZeuS, et je ne pense pas que cela changera les choses. » J’ai tendance à être d’accord. Il était déjà ridiculement facile de démarrer votre propre botnet ZeuS avant que le code source ne soit divulgué. Il existe un certain nombre de services établis et relativement peu coûteux dans le milieu criminel qui vendront des binaires ZeuS individuels pour aider les pirates novices à configurer et à établir des botnets ZeuS (certains vous vendront même l’hébergement à toute épreuve et les équipements associés dans le cadre d’un package), pour une fraction du prix du kit ZeuS complet.
Mon sentiment est que le seul danger potentiel de la publication du code source de ZeuS est que des codeurs plus avancés pourraient l’utiliser pour améliorer leurs offres actuelles de logiciels malveillants. À tout le moins, cela devrait encourager les développeurs de logiciels malveillants à écrire des guides d’utilisation plus clairs et concis. De plus, il peut y avoir des informations clés sur l’auteur de ZeuS cachées dans le code pour les personnes qui en savent assez sur la programmation pour en extraire du sens et des motifs.
Les RAT sévissent-ils ?
La semaine dernière, le McAfee blog inclus un poste intéressant sur un « outil d’administration à distance » (RAT) multiplateforme appelé IncognitoRAT qui est basé sur Java et peut fonctionner sur Linux, Mac et les fenêtres systèmes. Le billet de blog présentait de bons détails sur la fonctionnalité de cet outil commercial de logiciels criminels, mais je voulais en savoir plus sur son fonctionnement, son apparence et quelques informations sur l’auteur.
Ces détails supplémentaires, et bien plus encore, étaient étonnamment faciles à trouver. Pour commencer, ce RAT existe sous une forme ou une autre depuis l’année dernière. La capture d’écran ci-dessous montre une version antérieure d’IncognitoRAT utilisée pour contrôler à distance un système Mac.
IncognitoRAT utilisé pour contrôler un Mac à partir d’une machine Windows.
Le kit comprend également une application qui permet aux clients de contrôler les systèmes bottés via des iPhones jailbreakés.
Incognito est livré avec une application qui permet aux clients de contrôler les ordinateurs infectés à partir d’un iPhone
La vidéo suivante montre ce malware en action sur un système Windows. Cette vidéo a été réenregistrée à partir de la chaîne YouTube d’IncognitoRAT (par conséquent, elle est un peu floue), mais si vous la visualisez en plein écran et regardez attentivement, vous verrez une séquence dans la vidéo qui montre comment le RAT peut être utilisé pour envoyer des e- alertes par e-mail à l’attaquant. La personne qui réalise cette vidéo utilise Gmail ; on peut voir une liste de ses contacts Gchat sur la gauche ; et son adresse IP en bas de l’écran. Cette adresse IP remonte à un client haut débit Sympatico à Toronto, au Canada, qui correspond à la ville natale affichée dans le profil YouTube où cette vidéo a été hébergée. Un utilisateur Gmail nommé « Carlo Saquilayan » est inclus dans les contacts Gchat visibles dans la vidéo.
Le kit IncognitoRat est vendu sur un support en anglais script kiddie forum de hacker appelé HackForums.net par « M. Incognito », mais des connaissances sur le forum l’appellent « Carlo ». Carlo se décrit sur HackForums comme un étudiant de 19 ans ; il n’a pas répondu aux demandes répétées de commentaires. Bref, tant pis pour passer incognito : Ce compte Facebook appartient à un Carlo Saquilayan de Toronto, Ontario, et comprend une belle photo d’un jeune homme portant des lunettes de soleil et une veste en cuir.
CrimePack refait surface
Plusieurs forums de sécurité étaient en effervescence la semaine dernière à propos de la fuite apparente d’un autre crimekit. C’est une version récente de CrimePack, un kit d’exploitation dont j’ai parlé plusieurs fois sur ce blog. Cela conduira-t-il à une épidémie de nouveaux sites Web piratés infectés par le kit d’exploitation CrimePack ? Je ne pense pas que ce soit probable, pour plusieurs raisons. Tout d’abord, cela a été initialement divulgué l’automne dernier, peu de temps après que son auteur l’ait publié. Deuxièmement, j’ai contacté l’auteur de ce crimekit par message instantané et j’ai obtenu sa réaction. Il m’a dit qu’un composant principal du kit – la partie qui tente d’attaquer les vulnérabilités du lecteur PDF d’Adobe – était cassé dans la version qui a été divulguée et reste en grande partie non fonctionnel.
« Je livre cette copie à environ 20 personnes sans le verrou de domaine comme dernière copie, mais elle a été divulguée à quelqu’un, le jour même », a déclaré « Crim », l’auteur de CrimePack. « Après avoir vu que l’exploit PDF ne fonctionnait pas, donc pratiquement aucun exploit ne fonctionnera car il générera une erreur lors de l’envoi d’exploits. J’étais tellement énervé quand ça a fuité, alors j’ai refusé d’envoyer des copies fixes. Un extrait de bavardage fortement formulé d’un forum de hackers exclusif où Crim est co-administrateur est inclus dans la capture d’écran ci-dessus et semble étayer sa demande.
Les taches solaires ne sont rien de nouveau
Entreprise de sécurité Fiduciaire a déclaré avoir identifié une plate-forme de logiciels malveillants Windows peu connue qui rivalisait avec ZeuS en termes de sophistication et de fonctionnalité. Dans un article de blog le 11 mai 2011, Trusteer’s Amit Klein décrit la nouveauté de ce malware, que la société a surnommé « Sunspot ». Klein a déclaré que Sunspot « révèle une nouvelle approche du développement de logiciels malveillants financiers. Contrairement aux plates-formes de fraude financière spécialement conçues comme Zeus, SpyEye, Bugat et d’autres, il semble que Sunspot n’ait pas été développé à l’origine comme un logiciel criminel. Si tel est le cas, nous pourrions assister à un changement radical dans le développement de logiciels malveillants où l’usage général et peu connu[n] les plates-formes de logiciels malveillants sont reprogrammées pour commettre des fraudes financières. Cela rendra encore plus difficile la défense contre les attaques, car les banques seront prises en embuscade par un nombre croissant de plates-formes de logiciels malveillants financiers uniques.
Lorsque j’ai lu le billet de blog de Trusteer pour la première fois, j’ai contacté un certain nombre d’experts en sécurité qui étudient les logiciels malveillants pour gagner leur vie, afin de savoir s’il s’agissait d’une menace unique. Aviv RaffCTO et co-fondateur du service d’alerte de sécurité Séculertm’a dit mercredi qu’il s’était disputé une copie du logiciel malveillant et qu’il semblait être une version gonflée d’un bot bien connu publié au milieu de la dernière décennie appelé Néthellmais également connu sous le nom de Limbo et Ambler. Puis jeudi, Microsoftc’est Tarek Saadé & Tim Liu intervintaffirmant qu’ils avaient également identifié Sunspot comme une version évoluée d’Ambler.
Klein de Trusteer a reconnu qu’il semblait y avoir des similitudes entre Sunspot et Limbo/Nethell/Ambler, mais a déclaré qu’il y avait des innovations majeures dans la manière dont Sunspot attaque le navigateur de la victime. Il a observé que même si la fuite du code ZeuS pourrait bientôt donner à des codeurs de logiciels malveillants entreprenants des idées sur la façon d’étendre les capacités d’une famille de logiciels malveillants existante, il semble que quelqu’un a pris une famille de robots éprouvés et l’a agrémentée de un nouveau jeu de roues.
« Qu’il s’agisse d’une évolution de Limbo/Nethell/Ambler, ou simplement de » cannibaliser « des morceaux de ce malware pour créer un tout nouveau malware, tout le monde peut le deviner », a déclaré Klein dans un e-mail à BreachTrace. «Il est clair qu’ils sont tous deux construits avec un accès à un code source commun, mais au-delà de cela, il est difficile de le dire avec précision. De notre point de vue, la différence [outweighs] les similitudes, nous sentons donc qu’un nouveau nom est en place.
Gardez les conseils à venir, s’il vous plaît – ils sont généralement utiles et toujours très appréciés. Mais soyez sceptique face aux informations faisant état de « nouvelles » menaces ; souvent, nous découvrons que quelque chose de nouveau n’est vraiment pas une nouvelle du tout.