Les criminels qui exploitent de grands groupes d’ordinateurs piratés ont tendance à être très secrets et à protéger jalousement leurs actifs contre le piratage par d’autres escrocs. Mais l’un des botnets les plus grands et les plus sophistiqués au monde loue ouvertement ses PC infectés à n’importe qui et a même créé un Firefox add-on pour aider les clients.
le TDSS botnet est la menace la plus sophistiquée aujourd’hui, selon les experts de la société de sécurité russe KasperskyLab. Lancé pour la première fois en 2008, TDSS en est maintenant à sa quatrième version majeure (également connue sous le nom de TDL-4). Le logiciel malveillant utilise un « rootkit » pour s’installer au plus profond des PC infectés, en s’assurant qu’il se charge avant le démarrage du système d’exploitation Microsoft Windows. TDSS supprime également environ 20 programmes malveillants des PC hôtes, empêchant les systèmes de communiquer avec d’autres familles de robots.
Dans un analyse exhaustive du TDSS publié en juin, les chercheurs de Kaspersky Sergueï Golovanov et Igor Soumenkov a écrit que parmi les nombreux composants installés par TDSS se trouve un fichier appelé « socks.dll », qui permet aux PC infectés d’être utilisés par d’autres pour surfer sur le Web de manière anonyme.
Les chercheurs disent que ce module complémentaire de Firefox aide les clients à utiliser les connexions Internet des PC infectés par TDSS.
« Ayant le contrôle d’un si grand nombre d’ordinateurs avec cette fonction, les cybercriminels ont commencé à offrir un accès Internet anonyme en tant que service, pour un coût d’environ 100 dollars par mois », ont écrit les chercheurs. « Par souci de commodité, les cybercriminels ont également développé un module complémentaire Firefox qui facilite le basculement entre les serveurs proxy dans le navigateur. »
La vitrine de cet énorme botnet est awmproxy.net, qui annonce « les proxys anonymes les plus rapides ». Selon Golovanov, lorsque socks.dll est installé sur un ordinateur infecté par TDSS, il informe awmproxy.net qu’un nouveau proxy est disponible à la location. Peu de temps après la fin de cette notification, le PC infecté commence à accepter environ 10 demandes de proxy par minute, a-t-il déclaré.
« Pour nous, il suffisait de voir que ce module proxy supplémentaire pour tdl4 était installé directement sur la partition chiffrée et s’exécutait via la fonctionnalité rootkit », a déclaré Golovanov à BreachTrace. « Nous pensons donc qu’awmproxy a un lien direct avec le développeur tdl4, mais nous ne savons pas comment ils travaillent ensemble. » Les conservateurs d’AWMproxy n’ont pas répondu aux demandes de commentaires.
AWMproxy.net, la vitrine de la location d’accès aux PC infectés par TDSS
Les proxys du service sont tarifés en fonction de l’exclusivité et de la durée d’utilisation. Les proxys de navigateur réguliers vont de 3 $ par jour à 25 $ par mois. Les proxys qui peuvent être utilisés pour anonymiser tout le trafic Internet sur le PC d’un client coûtent entre 65 $ et 500 $ par mois. Pour 160 $ par semaine, les clients peuvent louer un accès exclusif à 100 systèmes infectés par TDSS à la fois. Fait intéressant, AWMproxy indique qu’il accepte les paiements via Pay Pal, MasterCardet Visa.
Awmproxy.net annonce actuellement plus de 24 000 procurations à louer. Le nombre de procurations disponibles varie considérablement d’un jour à l’autre, même au cours d’une seule période de 24 heures. C’est parce que les systèmes infectés par TDSS ne sont pas toujours allumés : leurs propriétaires légitimes et inconscients éteignent parfois leurs PC la nuit et le week-end.
Ceci est expliqué dans la FAQ d’AWMproxy :
« Q : Aujourd’hui, la qualité/la vitesse/le nombre de proxys ont diminué, pouvez-vous faire quelque chose ?
UNE: Il y a des périodes où la qualité, le nombre et la vitesse des proxies diminuent, et nous sommes vraiment incapables de l’aider autant que nous le souhaiterions. Il est impossible de fournir le même nombre de procurations en journée et à 3 heures du matin. Il en est de même le week-end.
La location d’ordinateurs piratés pour surfer anonymement n’est qu’une des nombreuses façons dont les auteurs de TDSS monétisent leur botnet. Dans un article de blog publié aujourd’hui, Golovanov explique comment TDSS est utilisé pour extraire des bitcoinsune monnaie électronique.
Les statistiques recueillies par Abuse.ch, le conservateur de ZeuSTracker, montrent comment TDSS se compare aux autres bots.
D’autres chercheurs ont exploré les activités d’une nouvelle variante de TDL-4 qui utilise des PC infectés pour une opération massive de fraude au clic. Joseph Mlodzianowskiun chercheur de logiciels malveillants qui blogue sur sub0day.com, ont constaté que les machines infectées par cette nouvelle version téléchargent périodiquement des fichiers de « campagne », des listes de sites Web que les systèmes bottés sont invités à visiter, apparemment pour générer des revenus publicitaires pour les sites ciblés.
« Ce que je pense qu’ils font, c’est louer à ces sites la possibilité d’avoir des gens qui les visitent afin qu’ils puissent être payés pour des publicités display », a déclaré Mlodzianowski. « Un dossier de campagne est une liste d’environ 15 sites. le [bots] ne frappez pas une seule page, ils parcourent et visitent deux à trois pages sur chaque site, il semble donc qu’un vrai utilisateur le fasse. Tout cela se passe de manière à ce qu’il soit invisible pour l’utilisateur.
Il n’est pas encore clair si les fraudeurs exécutant le botnet TDSS exploitent une vitrine publique similaire pour les clients fraudeurs au clic. Mais il est remarquable que les responsables de TDSS se sentent si invulnérables qu’ils se sentent à l’aise pour annoncer leur travail de manière aussi publique.
Mise à jour, 9 septembre, 9 h 28 HE : Consultez le post de suivi de cet article, Qui est derrière le botnet TDSS ?, qui suit une piste d’indices numériques qui ramènent à un individu qui semble être étroitement lié à cette opération criminelle.