[ad_1]

Au cours des 15 dernières années, un service d’anonymat de la cybercriminalité connu sous le nom de VIP72 a permis à d’innombrables fraudeurs de masquer leur véritable emplacement en ligne en acheminant leur trafic via des millions de systèmes infectés par des logiciels malveillants. Mais il y a environ deux semaines, la vitrine en ligne de VIP72 – qui, ironiquement, est restée à la même adresse Internet basée aux États-Unis pendant plus d’une décennie – a tout simplement disparu.

Comme d’autres réseaux d’anonymat commercialisés en grande partie sur des forums de cybercriminalité en ligne, VIP72 achemine le trafic de ses clients via des ordinateurs qui ont été piratés et ensemencés de logiciels malveillants. En utilisant des services comme VIP72, les clients peuvent sélectionner des nœuds de réseau dans pratiquement n’importe quel pays et relayer leur trafic tout en se cachant derrière l’adresse Internet d’une victime involontaire.

Le domaine Vip72[.]org a été initialement enregistré en 2006 pour « Corps», le pseudonyme adopté par un hacker russophone devenu célèbre plusieurs années auparavant pour avoir créé et vendu un cheval de Troie bancaire en ligne extrêmement sophistiqué appelé A311 Décèsalias « Haxporte, » et « Attrapeur nucléaire.” Haxdoor était en avance sur son temps à bien des égards, et c’était utilisé dans plusieurs cyberbraquages ​​de plusieurs millions de dollars bien avant que les cyberbraquages ​​de plusieurs millions de dollars ne fassent la une des journaux quotidiens.

Une publicité vers 2005 pour A311 Death, un puissant cheval de Troie bancaire créé par « Corpse », l’administrateur de la première clique de piratage russe Prodexteam. Image : Google Traduction via Archive.org.

Entre 2003 et 2006, Corpse s’est concentré sur la vente et le support de son malware Haxdoor. Émergé en 2006, VIP72 était clairement l’un de ses arnaques secondaires qui s’est transformé en un générateur d’argent fiable pendant de nombreuses années à venir. Et il va de soi que VIP72 a été lancé à l’aide de systèmes déjà infectés par le malware cheval de Troie de Corpse.

La première mention de VIP72 dans la clandestinité de la cybercriminalité remonte à 2006, lorsque quelqu’un a utilisé la poignée « Relancer» a annoncé le service sur Exploit, un forum de piratage en russe. Revive a établi une présence commerciale pour VIP72 sur plusieurs autres forums, et les coordonnées et les messages partagés en privé par cet utilisateur avec d’autres membres du forum montrent que Corpse et Revive sont une seule et même chose.

Lorsqu’on lui a demandé en 2006 si le logiciel qui alimentait VIP72 était basé sur son logiciel Corpse, Revive a répondu que « cela fonctionne sur le nouveau logiciel Corpse, spécialement écrit pour notre service ».

Un habitant d’un forum sur la criminalité en langue russe qui s’est plaint de la fermeture inexpliquée de VIP72 le mois dernier a déclaré avoir remarqué un changement dans l’infrastructure des noms de domaine du site juste avant la disparition du service. Mais cette affirmation n’a pas pu être vérifiée, car il n’y a tout simplement aucun signe que cette infrastructure ait changé avant la disparition de VIP72.

En réalité, jusqu’à la mi-août, la page d’accueil principale de VIP72 et l’infrastructure de support étaient restées à la même adresse Internet basée aux États-Unis pendant plus d’une décennie — une réalisation remarquable pour un service de cybercriminalité aussi prestigieux.

Les forums sur la cybercriminalité en plusieurs langues regorgent de tutoriels sur la façon d’utiliser VIP72 pour cacher sa position tout en se livrant à une fraude financière. En examinant certains de ces didacticiels, il est clair que VIP72 est très populaire parmi les cybercriminels qui se livrent au « bourrage d’informations d’identification » – en prenant des listes de noms d’utilisateur et de mots de passe volés sur un site et en testant combien de ces informations d’identification fonctionnent sur d’autres sites.

Corpse/Revive a également longtemps exploité un service extrêmement populaire appelé check2ip[.]comqui promettait aux clients la possibilité de savoir rapidement si une adresse Internet donnée est signalée par des sociétés de sécurité comme malveillante ou spam.

Hébergé sur la même adresse Internet que VIP72 au cours de la dernière décennie jusqu’à la mi-août 2021, Check2IP a également annoncé la possibilité de permettre aux clients de détecter les «fuites DNS», des cas où des erreurs de configuration peuvent exposer la véritable adresse Internet de l’infrastructure et des services de cybercriminalité cachés en ligne.

Check2IP est si populaire qu’il est devenu un raccourci verbal pour la diligence raisonnable de base dans certaines communautés de cybercriminels. En outre, Check2IP a été intégré à une variété de services de cybercriminalité en ligne, mais en particulier à ceux impliqués dans l’envoi massif d’e-mails malveillants et phisous.

Check2IP, un service de réputation IP qui indiquait aux visiteurs si leur adresse Internet était signalée dans des listes de blocage de spam ou de logiciels malveillants.

On ne sait toujours pas ce qui est arrivé à VIP72 ; les utilisateurs signalent que le réseau d’anonymat fonctionne toujours même si le site Web du service est absent depuis deux semaines. Cela a du sens puisque les systèmes infectés qui sont revendus via VIP72 sont toujours infectés et continueront avec plaisir à transférer le trafic tant qu’ils resteront infectés. Peut-être que le domaine a été saisi lors d’une opération d’application de la loi.

Mais il se pourrait que le service ait simplement décidé de cesser d’accepter de nouveaux clients parce qu’il avait du mal à concurrencer un afflux de services proxy criminels plus récents et plus sophistiqués, ainsi qu’avec la montée en puissance des réseaux proxy résidentiels «à l’épreuve des balles». Pendant la majeure partie de son existence jusqu’à récemment, VIP72 avait normalement plusieurs centaines de milliers de systèmes compromis disponibles à la location. Au moment où son site Web a disparu le mois dernier, ce nombre était tombé à moins de 25 000 systèmes dans le monde.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *