Business malwares : le Pourquoi des infections informatique

Dans cette partie vous trouverez des papiers, articles sur l'informatique/sécurité.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Business malwares : le Pourquoi des infections informatique

par Malekal_morte »

Voici une page parlant du business autour des infections informatiques / virus informatiques.
Pour la plupart des internautes, si on parle d'argent et de virus, la majorité vont répondre "Ce sont les éditeurs d'antivirus qui font des virus..." Et bien pas vraiment....

Le but de cette page est de survoler en donnant quelques exemples des méthodes utilisées par les cyberdélinquants pour gagner de l'argent via des infections mais aussi démontrer que ces infections ne font pas vire que des éditeurs de sécurité mais aussi de grands acteurs de l'internet.
En bref, qu'il existe tout un écosystème autour des infections.

Quelques méthodes pour faire de l'argent via les infections...

Voici quelques exemples de malwares qui génèrent des milliers de dollars aux cyberdélinquants.
Ce ne sont que des exemples et non la totalité des arnaques et autres méthodes utilisées pour générer de l'argent...

Je vous conseil aussi de lire la page suivante : Spyeye CC et Busniness UnderGround
  • Transformer votre machine en PC Zombis et joindre un botnet .
    Les pirates constituent un réseau de PC infectés qu'ils contrôlent et peuvent louer pour une somme d'argent pour effectuer divers tâches. Vous pouvez lire cette page pour plus d'informations : http://www.viruslist.com/fr/analysis?pubid=200676152 :
    En général, ces tâches sont :
    • Utiliser les ordinateurs infectés pour effectuer des attaques vers des sites PC zombies à sa disposition pour effectuer ses attaques. Imaginez 10 000 PC avec des connexions ADSL effectuant des requêtes en continu sur un site WEB !
    • Utiliser les ordinateurs infectés pour relayer des mails de spams pour des produits commerciaux.
    Un exemple de service pour constituer un botnet :
    Image
    ou encore cette annonce de botnet avec toutes les fonctionnalités permises :

    Image
  • Faire de l'argent via la publicité. infecter les ordinateurs des internautes avec des Adwares. Les pirates créent des Adwares qui affichent des popups de publicités ou des infections qui redirections lors des recherches Google. Le pirate gagne alors un certains nombres d'argent par popup de publicités ouverte donc plus le nombre d'ordinateur qui ouvre des popups est grand, plus le pirate se fera d'argent.
  • Tromper les internautes en vendant de faux antispywares que l'on nomme Rogues/Scareware - Notion de PPC/CPC - Les rogues génèrent à eux seuls des milliers de dollars voir : http://www.secureworks.com/research/thr ... us-part-1/ et http://www.secureworks.com/research/thr ... us-part-2/
  • Même chose avec les ransomwares : Ransomware.
    • Ce sont des coquilles vides.. Une simple interface graphique ressemblant à des antispywares classiques mais sans mise à jour, sans procédures de nettoyage. Le but est très simple. Les auteurs de ces faux-antispywares inondent le WEB de publicités via les régies de pubs (ce sont les sociétés qui s'occupent d'afficher les publicités sur les sites WEB, concrètement en quelques secondes, plusieurs millions/millions de sites WEB peuvent afficher la même publicités pour le même produit), généralement avec de fausses alertes de sécurités indiquant que votre ordinateur est infecté proposant de télécharger, comme solution, ces faux-antispywares.
    • Les pirates créent des infections qui affichent des alertes indiquant que votre ordinateur est infecté (fond d'écran modifié avec messages en rouges, icônes en bas à droite à côté de l'horloge indiquant que votre ordinateur est infecté) en proposant de télécharger, comme solution, ces faux-antispywares. Si l'utilisateur est naïf... voyant ces alertes, il va télécharger et acheter ce faux produit qui ne va rien nettoyer sur son ordinateur.
  • Promouvoir l'installation de programmes malicieux (inclus rogues et scamwares) - notion de PPI - Pay-Per-Install. Un groupe peut se concentrer sur la promotion de programmes malicieux sans l'avoir développer lui même (Affiliation).
  • Récupérer des informations tels que les adresses email, numéro carte bancaire (carding) etc.. afin de les revendre soit via des infections (Zbot, Banker etc).. plus globalement, se reporter à la page Pour aller plus loin sur les trojans bancaire, vous pouvez vous reporter sur la page : Les trojan Banker, le phishing peut aussi être utilisé.
  • Récupérer les identifiants de compte de jeu en ligne pour les revendre : voir fraude jeux en ligne comment prendre les joueurs à l'hameçon
  • Divers autres arnaques par mail comme les arnaques Scam 419 / Scam nigérian...
  • Créer de faux blogs de sécurité pour vendre des antispywares et toucher un % sur les ventes. Imaginez les créateurs de rogues qui en plus créent des blogs avoir des sois disant recette de désinfection via des antispywares et touche un % au passage...
  • etc.
Par exemple un keylogger en vente :
Image

Ce qu'il faut bien comprendre, c'est que plus de PC seront infectés, plus une infection sera active, plus d'argent sera générée par celle-ci.
Il convient donc, lors d'une campagne, de maximiser au possible afin de générer un maximum de gains.

Exemple de vente de service de DDoS / Stresser :

Image

Image

Image

A noter que certains groupes peuvent aussi se constituer des botnets non pas pour faire de l'argent mais effectuer des opérations politiques.

Ci-dessus, on retrouve la monétisation de PC infectés.
Il faut aussi savoir que les outils pour infecter des ordinateurs est aussi tout un business, comme l'achat de Web Exploitkit ou la vente de crypter : Crypter/Packer et détection antivirus.

Image

Pour créer des malwares au format Microsoft Office :

Image

Image

De même avec MultiSploit Tool qui permet, en autre, de créer des macros Office :

Image

Il peut aussi s'agir aussi de panel tout fait pour créer des sites de phishing : Achat sur Internet : arnaque

Services : Business underground

Dans un premier temps, ce qu'il faut comprendre c'est qu'il existe tout un business au sein de "l'underground" autour des malwares.
Pour la majorité des internautes, les groupes qui mettent en ligne et utilisent les malwares sont les mêmes personnes or ce n'est très souvent pas le cas.

Certains groupent développent les malwares (Pinch, Zbot etc..) et les vendent... d'autres entités se content de les mettre en ligne et tirer profit de ces malwares.
D'autres groupent développent des Web Malware Exploitation Kit, ces kits une fois mis en ligne permettent l'exploitation de vulnérabilités et l'infection automatique d'ordinateurs lors de la consultation de pages WEB.
Les Web Malware Exploitation Kit doivent mis à jour rapidement lors de la découverte d'une nouvelle faille de sécurité sur des logiciels grands public afin de pouvoir infecter rapidement un maximum d'ordinateurs.
Ces kits donnent aussi des statistiques de réussites, les localités géographiques des PC infectés etc.
D'autres groupes peuvent vendre des kits de phising afin d'effectuer des campagnes de phishing.
Des Kits qui permettent la création de fausses pages de téléchargement YouTube... utilisé par exemple dans des infections MSN, les campagnes Trojan.Exchanger en 2008 etc.

D'autres groupes peuvent par exemple effectuer des mailing... Par exemple, un groupe ou pirate qui souhaite effectuer une campagne type Scam 419 / Scam nigérian mais qui n'a pas les connaissances ou ressources pour effectuer la campagne de mailing peut faire appel à un groupe...
Il est alors possible de choisir des cibles selon certains critères etc, par exemple si le mail est francophone, on souhaitera cibler des destinataires francophones.

La spécialisation de certains groupes permet la démocratisation de la cyberdélinquance, un groupe ou pirate qui ne maitrise pas toute la chaîne de l'infection (création du malware jusqu'au mécanisme pour infecter les PC) peut alors acheter des kits ou malwares.
Résultat explosion du nombre de malwares en ligne depuis quelques années.


Distribution : Affiliation & “Trafic Management System”

Afin d'optimiser au maximum la distribution de leurs malwares et donc l'infection à grand échelle... Certains groupes mettent en place des systèmes d'affiliations via des “Trafic Management System”.
Le principe est simple, une personne s'inscrit sur le site de “Trafic Management System” et reçoit un identifiant avec un lien souvent de la forme http://www.example.com/in.cgi?user ou
Ce lien redirige vers un exploit ou malware et permet l'infection du système, la personne inscrit reçoit un % d'argent sur un volume ou pour chaque malware installé réussi.
Il convient donc à cette personne de maximiser, à son tour, afin de faire un maximum de profit.

Le groupe distribuant le malware a plein les plus pouvoir au sein du Trafic Management System
http://www.example.com/in.cgi?user se contente de rediriger l'internaute vers un lien infectieux par exemple http://www.malware.com
Au bout de deux jours si http://www.malware.com est connu par les antivirus et blacklister, d'un simple clic les auteurs peuvent faire rediriger http://www.example.com/in.cgi?user vers http://www.malware2.com
De même, selon la provenance (pays) ou les heures, il est possible de faire rediriger vers tels ou tels liens.

Certains webmaster de sites pornographiques peuvent alors mettre ces liens sur leurs sites et toucher de l'argent, sorte de sponsoring.
C'est ce qui peut arriver pour les malwares de types Zlob/Faux codecs, une image pornographique pointant vers un de ces Trafic Management System aboutissant à une infection Faux Codec/Zlob

D'autres groupes de pirates spécialisés dans le hack peuvent hacker un grand nombre de sites afin d'introduire ces Trafic Management System sous forme d'iframe par exemple.
A la visite du lien, les internautes seront redirigés vers ces Trafic Management System qui peuvent pointer sur des exploits.


Ces Affiliation & “Trafic Management System” permet donc à un tiers de se faire rémunérer via les infections.

Un autre aspect des affiliations sont les de faux blogs de sécurité.

Hébergement, shell etc

Pour qu'une infection puisse fonctionner, vous devez avoir un site (ou plusieurs) WEB qui héberge le code malicieux, une machine (ou plusieurs) pour contrôler les machines infectées et éventuellement d'autres sites WEB pour faire la promotion de votre infection et bien sûr des noms de domaines.
Chaque jour des centaines de sites WEB, machines ou noms domaines utilisées dans les infections sont fermés (ou blacklister par les éditeurs de sécurité)
Chaque jour des centaines de sites WEB, machines ou noms domaines sont créés pour accueillir de nouveaux code malicieux.
Réel balai et jeu du chat et de la souris.

Sont en général privilégié les hébergeurs/registrars laxistes/passifs ou ayant un service abuse lent afin d'assurer un temps minimum de mise en ligne une non fermeture du nom de domaine/shells pour réussir une campagne d'infections.

Ceci fait donc les choux gras de beaucoup de registrars et hébergeurs.
Certains registars sont (ou étaient) connus pour être très utilisés par les auteurs de malwares notamment le registar estonien EastDomains jusqu'en 2008.
Depuis ce sont des registars comme TODAYNIC.COM, BIZCN.COM, INC. ou DIRECTI.

De même pour des réseaux (on pourrait citer McColo, Atrivo/Intercage) - A noter que ces derniers sont américains

Au vu du nombre de nom de domaines, shells achetés par jour par les cyberdélinquants, l'argent apporté par les infections à ces acteurs du WEB doit être non négligeable.

Cet utilisateur sur un forum underground qui propose un service d'hosting "BulletProof", c'est à dire qui ne ferme pas les serveurs utilisés pour héberger du contenu malicieux.

Image

Image

Les régies de publicités

Les régies de publicité sont utilisées de deux manières : Comme expliqué plus haut, les auteurs de malwares installent des Adwares comme Trojan.Vundo, Adware.Rotator, Trojan.Furi et bien d'autres.
Ces programmes ont pour but d'ouvrir des popups de publicités intempestives sur les PC infectés, à chaque ouverture de popups, le cyberdélinquant distribuant le programme touche un %
Bien entendu cela fait fonctionner les régies de publicités en faisant grimper leurs statistiques qui sera utilisé pour leurs marketings.

La seconde utilisation des régies de publicités est la promotion de logiciels plus ou moins douteux via des bannières de publicités.
Personnellement je ne vois pas les publicités sur les sites WEB mais quand je surf depuis d'autres PC et que je vois sur les sites français les programmes mis en avant c'est effrayant.

Le Dossier Adwares/PUPs : programmes indésirables et parasites résume bien ces pratiques.

N'oublions pas non plus les arnaques de supports téléphoniques poussés par divers régies publicitaires.

Image

Bref, les éditeurs de programmes plus ou moins douteux alimentent depuis quelques années les publicités des régies de publicités.

Autres business

Il existe aussi d'être programmes en vente qui permettent d'abuser des services ou autres.
Par exemple pour faire de l'argent rapidement via la monnaie virtuelle Bitcoin

abuser Instagram

Image

ou cracker des adresses emails :
Image

ou un programme de vérification de proxy

Image

Sans oublier les jeux en ligne :

Image

Conclusion

Depuis quelques années on assiste a une professionnalisation des infections dû à l'appât du gain.
Autour des infections est née une nébuleuse de petits groupes vendent leurs savoir et service.

Du côté des grandeurs acteurs de l'informatique ou de l'internet, si l'explosion des infections peut faire *la joie* des éditeurs de sécurité, indirectement un apport de revenus non négligeable à de grands acteurs du WEB est aussi à signaler.

Lien supplémentaire sur le sujet du lab de Kaspersky : Économie des réseaux de PC zombies et Botnet Business

Pour aller plus loin, ou si la sécurité vous interresse, voici des documents/reportages sous forme de vidéos : Enfin vous trouverez d'autres menaces et le pourquoi de ces menaces sur la page : Index des menaces et programmes malveillants/Malwares
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Business malwares : le Pourquoi des infections

par Malekal_morte »

ajout de ce paragraphe (voir le lien PPI) :
Promouvoir l'installation de programmes malicieux (inclus rogues et scamwares) - notion de PPI - Pay-Per-Install. Un groupe peut se concentrer sur la promotion de programmes malicieux sans l'avoir développer lui même (Affiliation).
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Gof

Re: Business malwares : le Pourquoi des infections

par Gof »

Bonjour :)

A mettre en relation avec ce sujet, à titre indicatif pour illustrer :
Le document, au format PDF, est en anglais, mais il permet de se faire une certaine idée des enjeux.
Malekal_morte
Messages : 116521
Inscription : 10 sept. 2005 13:57

Re: Business malwares : le Pourquoi des infections

par Malekal_morte »

Je déterre ce topic pour donner deux liens inintéressants de Kaspersky sur deux modèles de malwares différents, un provenant du Brésil et l'autres de l'Europe de l'est / Russie

Beaches, carnivals and cybercrime: a look inside the Brazilian underground

Russian financial cybercrime: how it works

Du côté Brésilien, la spécialisation est sur les malwares de type banker qui volent des informations bancaires.
Les groupes sont de 4 à 5 personnes avec des tâches bien définies, développer le malware ou les packers pour éviter les détections, d'autres pour la propagation du malware qui peut reposer sur l'achat et la mise en place de Web ExploitKit par exemple ou de kit de phishing.

La répartion des attaques de banker en 2014, La russie utilise plutôt des variantes Zeus alors que les Brésiliens eux utilisent beaucoup la famille Trojan ChePro
Zeus_Repartition.png
A noter que les Brésiliens peuvent aussi récupérer des techniques utilisées par les malwares de l'Europe de l'Est/Russie afin de perfectionner les leurs.

La Russie reste le pays où l'activité des malwares est la plus importantes dans le monde.
Divers services sont proposés à l'achat qui peuvent être utilisés par des groupes pour propager des malwares et effectuer des campagnes ou mener des attaques ciblées.

Quelques un des services proposés à l'achat qui avait été évoqué dans le topic initial.
  • Distribution de Spam
  • Attaque DoS
  • Tester des malwares contre les antivirus (il existe des services type virustotal pour tester constamment si un malware en particulier est détecté par les antivirus afin de le mettre à jour)
  • Développement de packers afin d'éviter la détection par signature antivirus
  • Vente d'exploit kit.
  • Vendre des serveurs dédiés
  • VPN pour assurer l'anonymat des groupes derrière les campagnes de malwares
  • Vente de botnets
  • Black SEO
Ces services peuvent être achetés par des groupes qui désirent lancer des attaques ou campagnes de malwares.
Les tailles et groupes peuvent être divers selon les compétences etc.
Un schéma d'un groupe structuré et derrière généralement des campagnes d'envergures.
cybercrime_underground_eng_7.png
4 parties distincts :
  • les programmes qui développent les malwares et packers pour éviter les détections par les antivirus. Cela inclue aussi les tests
  • Le groupe qui s'occupe de la diffusion des malwares
  • Les administrateurs réseaux qui maintient l'infrastructure
  • Les mules qui eux s'occupent de récupérer l'argent en payant des personnes pour faire transiter l'argent d'un compte en banque à l'autre. En général, ces personnes sont recrutés par des campagnes de mails proposent des "job".
Le fait que les groupes soient structurés, avec des personnes compétents permet d'être plus efficaces.

Comme vous pouvez le constater, il existe tout un écosystème.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Papiers / Articles »