[ad_1]

Une explosion d’outils et de services de fraude en ligne permet aux novices de se lancer plus facilement que jamais dans la criminalité informatique. Dans le même temps, un nombre croissant de preuves suggèrent qu’une grande partie de l’activité mondiale de la cybercriminalité pourrait être l’œuvre d’un groupe central de mécréants qui s’y livrent depuis de nombreuses années.

J’ai récemment mis en évidence les liens financiers entre les organisations responsables de la promotion de faux antivirus et les pharmacies faisant l’objet de spams ; tous comptaient sur quelques banques en Azerbaïdjan pour traiter les paiements par carte de crédit.

Dans ce segment, j’examinerai le chevauchement de personnel entre les fausses industries audiovisuelles et pharmaceutiques. Les données sont tirées de deux sources : une étude réalisée par des chercheurs du Université de Californie, Santa Barbara (UCSB) qui a examiné trois des faux services d’affiliation audiovisuels les plus populaires qui paient des pirates pour imposer des logiciels sans valeur à des internautes désemparés ; et la base de données des affiliés Glavmed/Spamit qui a fait l’objet d’une fuite, qui comprend les informations financières et de contact de bon nombre des meilleurs spammeurs et pirates du monde.

chercheur à l’UCSB Brett Stone-Gross et j’ai comparé les numéros de messagerie instantanée ICQ appartenant aux affiliés de Glavmed/Spamit avec les numéros ICQ utilisés par les affiliés du plus grand des faux programmes audiovisuels mesurés par son équipe de recherche. Le résultat? 417 des 998 affiliés qui étaient enregistrés auprès du faux service de distribution AV — un énorme 42,2 pour cent — étaient également des spammeurs pharmaceutiques enregistrés auprès de Glavmed/Spamit.

Malheureusement, les deux autres faux programmes d’affiliation AV n’avaient pas stocké les numéros ICQ d’affiliation dans leurs bases de données, nous devions donc trouver une autre base pour examiner les utilisateurs de ces programmes. Au lieu de cela, nous avons recherché des adresses e-mail communes parmi les affiliés des trois faux programmes AV et pour les affiliés de Glavmed/Spamit. Il s’agit presque certainement d’une mesure conservatrice du chevauchement, car les malfaiteurs ont tendance à changer d’adresse e-mail plus fréquemment qu’ils n’adoptent de nouveaux numéros ICQ. Même ainsi, nous avons constaté que le taux de chevauchement des adresses e-mail était élevé, entre 19 et 27 % pour tous les programmes :

A CHEVAUD DES DEUX MONDES

Un exemple classique de ce chevauchement était un membre clé de Spamit, un pirate informatique nommé « Severa ». Avant la fermeture de Spamit en septembre 2010, Severa était modérateur de la section « spam » du site (comme la plupart des forums sur la cybercriminalité, Spamit avait des sections consacrées à une gamme d’entreprises criminelles).

Severa est l’abréviation de « Pierre Severa« , un Russe qui est répertorié au n ° 5 sur Spamhausc’est Registre des opérations de spam connues (ROKSO). Selon Spamhaus, Severa est l’un des seigneurs du spam criminels les plus anciens sur Internet. Severa fait la publicité de ses services de spam sur plusieurs forums de cybercriminalité sur invitation uniquement.

Jusqu’au mois dernier, Severa dirigeait un faux programme d’affiliation de distribution d’antivirus appelé Sévantivirqui semble avoir compté dans ses rangs un grand nombre de membres de Glavmed/Spamit (Sevantivir est ne pas l’un des trois faux services audiovisuels inclus dans l’étude de l’UCSB).

Il semble que Severa ait utilisé son faux programme d’affiliation AV pour générer de nouvelles infections pour le botnet qui alimente son service de spam. Le mois dernier, j’ai contacté un blogueur français sur la sécurité Steven K., après avoir lu l’un de ses messages sur un autre faux programme d’affiliation AV. J’ai montré à Steven un moyen facile d’obtenir un téléchargement de logiciel malveillant à partir du site Web affilié de Sevantivir, et il a passé les deux jours suivants étudier le malware.

Steven a découvert que le programme d’installation malveillant que les affiliés de Sevantivir devaient distribuer était conçu pour télécharger deux fichiers. L’un était un faux programme AV appelé Security Shield. L’autre était un robot spammeur qui envoyait du courrier indésirable proxénétisme sur les sites de pilules Canadian Pharmacy/Glavmed. Le spambot est détecté par le logiciel antivirus de Microsoft comme Win32.Kelihos.b. Selon Microsoft, Kelihos.b partage de grandes parties de son code avec le Ver Waledacun ver infâme qui pendant plusieurs années a été synonyme de pourriel Canadian Pharmacy.

Microsoft a ciblé le botnet Waledac l’année dernière en une attaque sournoise sur son infrastructure de contrôle. Microsoft ne considère pas ce ver Kelihos.b comme faisant partie de la même famille que Waledac, comme le prétendent certains chercheurs. Microsoft déclare : « Sur la base de notre analyse, nous avons classé cela comme une nouvelle famille et non comme une variante de Waledac. Il est important de noter que cette nouvelle famille ne communique ni ne réactive le Waledac d’origine dont l’infrastructure de commandement et de contrôle a été neutralisée l’année dernière.

Restez à l’écoute pour la dernière histoire de cette série, qui examinera l’impact des événements récents sur l’industrie du faux audiovisuel.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *