Edition du 11/06/2008 - par François Paget, chercheur en sécurité chez l'éditeur McAfee

La vente de codes malveillants devient un commerce comme un autre. On peut acquérir à moindre coût tout type de programme hostile ou de service d'attaque clé en main. Le Web est le canal de distribution idéal.

Les codes malveillants sont désormais commercialisés sur le Web comme de simples anti-virus. Leur mode de fonctionnement se banalise et consiste de plus en plus à squatter des sites légitimes. En 2007, de très nombreuses pages appartenant à des sites web ont ainsi été secrètement modifiées. A chaque fois, quelques lignes de codes y ont été ajoutées et redirigent silencieusement le visiteur sur un site malveillant qui poursuivra l'attaque. Ce code de redirection porte le nom d' « iFrame ». C'est souvent un cadre de la taille du pixel qui contient un lien vers le site du pirate. Ce dernier est conçu autour d'un outil d'attaque lançant une recherche de vulnérabilités sur chaque machine qui le visite.

Des outils en vente sur internet
Si cet outil découvre une faille, il cherche alors à implanter deux programmes. Le premier est un piégeur qui tentera d'infiltrer d'autres pages Web. Le second est un « downloader » qui implantera le programme que le pirate souhaite utiliser : robot, porte dérobée, keylogger, etc ... Ces outils d'attaque sont en vente sur le Net et font souvent l'objet de petites annonces sur des forums spécialisés. Il y a parfois un lien vers le site Web de leur concepteur. Ces outils se monnayent quelques centaines d'euros mais ils se déprécient très vite. Les plus performants ont pu valoir jusqu'à 3000 $ aux premiers jours de leur mise en vente. En 2007, on a entendu parler de IcePack (d'origine russe), MPack et WebAttacker.

On peut citer de façon plus exhaustive :

- FTP Checker : 15 $
- IcePack (IDT Group) : 40 $ à 400 $
- Limbo V1.7 (Décembre 2006) : 1,000 wmz (monnaie définie sur le web, et 1 wmz vaut 1 $)
- MPack (DreamCoders Team) V0.99 (Août 2007) : 700 $
- Nuclear Grabber (Corpse)V5 (Février 2007) : 3000 $ en octobre 2005 mais 100 $ en juillet 2007
- Pinch (Coban2k pour la version originale) V2.99 (Mars 2007) : 30 $ (Mise à jour: 5 $); Outil d'aide à la gestion à 100 $
- Power Grabber (privat.inattack.ru) v1.8 (Mars 2007) : 700 $ et 30 $ pour la protection anti-virus.
- Web-Attacker (inet-lux.com) : 25 $ à 300 $(Juillet 2006), Approx. $17

Un nouveau trio en 2008
En 2008, c'est le trio Zupacha, ZeuS et ZUnker qui est très en vogue. On citera aussi FirePack. Zupacha est un programme de type robot (un bot), dédié à l'implantation d'un cheval de Troie. Zunker permet la gestion centralisée du botnet, c'est l'outil de commande et de contrôle. ZeuS est un crimeware, une version évoluée de keylogger (capture des frappes clavier) dédié au monde bancaire. Le diffuseur de ces outils est russe et ...

Photo : Francois Paget, Threat Researcher, pour l'éditeur McAfee. Il est l'auteur de cet article de synthèse

Page suivante (2/3) >