Pour la plupart des internautes, si on parle d'argent et de virus, la majorité vont répondre "Ce sont les éditeurs d'antivirus qui font des virus..." Et bien pas vraiment....
Le but de cette page est de survoler en donnant quelques exemples des méthodes utilisées par les cyberdélinquants pour gagner de l'argent via des infections mais aussi démontrer que ces infections ne font pas vire que des éditeurs de sécurité mais aussi de grands acteurs de l'internet.
En bref, qu'il existe tout un écosystème autour des infections.
Quelques méthodes pour faire de l'argent via les infections...
Voici quelques exemples de malwares qui génèrent des milliers de dollars aux cyberdélinquants.
Ce ne sont que des exemples et non la totalité des arnaques et autres méthodes utilisées pour générer de l'argent...
Je vous conseil aussi de lire la page suivante : Spyeye CC et Busniness UnderGround
- Transformer votre machine en PC Zombis et joindre un botnet .
Les pirates constituent un réseau de PC infectés qu'ils contrôlent et peuvent louer pour une somme d'argent pour effectuer divers tâches. Vous pouvez lire cette page pour plus d'informations : http://www.viruslist.com/fr/analysis?pubid=200676152 :
En général, ces tâches sont :- Utiliser les ordinateurs infectés pour effectuer des attaques vers des sites PC zombies à sa disposition pour effectuer ses attaques. Imaginez 10 000 PC avec des connexions ADSL effectuant des requêtes en continu sur un site WEB !
- Utiliser les ordinateurs infectés pour relayer des mails de spams pour des produits commerciaux.
ou encore cette annonce de botnet avec toutes les fonctionnalités permises :
- Faire de l'argent via la publicité. infecter les ordinateurs des internautes avec des Adwares. Les pirates créent des Adwares qui affichent des popups de publicités ou des infections qui redirections lors des recherches Google. Le pirate gagne alors un certains nombres d'argent par popup de publicités ouverte donc plus le nombre d'ordinateur qui ouvre des popups est grand, plus le pirate se fera d'argent.
- Tromper les internautes en vendant de faux antispywares que l'on nomme Rogues/Scareware - Notion de PPC/CPC - Les rogues génèrent à eux seuls des milliers de dollars voir : http://www.secureworks.com/research/thr ... us-part-1/ et http://www.secureworks.com/research/thr ... us-part-2/
- Même chose avec les ransomwares : Ransomware.
- Ce sont des coquilles vides.. Une simple interface graphique ressemblant à des antispywares classiques mais sans mise à jour, sans procédures de nettoyage. Le but est très simple. Les auteurs de ces faux-antispywares inondent le WEB de publicités via les régies de pubs (ce sont les sociétés qui s'occupent d'afficher les publicités sur les sites WEB, concrètement en quelques secondes, plusieurs millions/millions de sites WEB peuvent afficher la même publicités pour le même produit), généralement avec de fausses alertes de sécurités indiquant que votre ordinateur est infecté proposant de télécharger, comme solution, ces faux-antispywares.
- Les pirates créent des infections qui affichent des alertes indiquant que votre ordinateur est infecté (fond d'écran modifié avec messages en rouges, icônes en bas à droite à côté de l'horloge indiquant que votre ordinateur est infecté) en proposant de télécharger, comme solution, ces faux-antispywares. Si l'utilisateur est naïf... voyant ces alertes, il va télécharger et acheter ce faux produit qui ne va rien nettoyer sur son ordinateur.
- Promouvoir l'installation de programmes malicieux (inclus rogues et scamwares) - notion de PPI - Pay-Per-Install. Un groupe peut se concentrer sur la promotion de programmes malicieux sans l'avoir développer lui même (Affiliation).
- Récupérer des informations tels que les adresses email, numéro carte bancaire (carding) etc.. afin de les revendre soit via des infections (Zbot, Banker etc).. plus globalement, se reporter à la page Pour aller plus loin sur les trojans bancaire, vous pouvez vous reporter sur la page : Les trojan Banker, le phishing peut aussi être utilisé.
- Récupérer les identifiants de compte de jeu en ligne pour les revendre : voir fraude jeux en ligne comment prendre les joueurs à l'hameçon
- Divers autres arnaques par mail comme les arnaques Scam 419 / Scam nigérian...
- Créer de faux blogs de sécurité pour vendre des antispywares et toucher un % sur les ventes. Imaginez les créateurs de rogues qui en plus créent des blogs avoir des sois disant recette de désinfection via des antispywares et touche un % au passage...
- etc.
Ce qu'il faut bien comprendre, c'est que plus de PC seront infectés, plus une infection sera active, plus d'argent sera générée par celle-ci.
Il convient donc, lors d'une campagne, de maximiser au possible afin de générer un maximum de gains.
Exemple de vente de service de DDoS / Stresser :
A noter que certains groupes peuvent aussi se constituer des botnets non pas pour faire de l'argent mais effectuer des opérations politiques.
Ci-dessus, on retrouve la monétisation de PC infectés.
Il faut aussi savoir que les outils pour infecter des ordinateurs est aussi tout un business, comme l'achat de Web Exploitkit ou la vente de crypter : Crypter/Packer et détection antivirus.
Pour créer des malwares au format Microsoft Office :
De même avec MultiSploit Tool qui permet, en autre, de créer des macros Office :
Il peut aussi s'agir aussi de panel tout fait pour créer des sites de phishing : Achat sur Internet : arnaque
Services : Business underground
Dans un premier temps, ce qu'il faut comprendre c'est qu'il existe tout un business au sein de "l'underground" autour des malwares.
Pour la majorité des internautes, les groupes qui mettent en ligne et utilisent les malwares sont les mêmes personnes or ce n'est très souvent pas le cas.
Certains groupent développent les malwares (Pinch, Zbot etc..) et les vendent... d'autres entités se content de les mettre en ligne et tirer profit de ces malwares.
D'autres groupent développent des Web Malware Exploitation Kit, ces kits une fois mis en ligne permettent l'exploitation de vulnérabilités et l'infection automatique d'ordinateurs lors de la consultation de pages WEB.
Les Web Malware Exploitation Kit doivent mis à jour rapidement lors de la découverte d'une nouvelle faille de sécurité sur des logiciels grands public afin de pouvoir infecter rapidement un maximum d'ordinateurs.
Ces kits donnent aussi des statistiques de réussites, les localités géographiques des PC infectés etc.
D'autres groupes peuvent vendre des kits de phising afin d'effectuer des campagnes de phishing.
Des Kits qui permettent la création de fausses pages de téléchargement YouTube... utilisé par exemple dans des infections MSN, les campagnes Trojan.Exchanger en 2008 etc.
D'autres groupes peuvent par exemple effectuer des mailing... Par exemple, un groupe ou pirate qui souhaite effectuer une campagne type Scam 419 / Scam nigérian mais qui n'a pas les connaissances ou ressources pour effectuer la campagne de mailing peut faire appel à un groupe...
Il est alors possible de choisir des cibles selon certains critères etc, par exemple si le mail est francophone, on souhaitera cibler des destinataires francophones.
La spécialisation de certains groupes permet la démocratisation de la cyberdélinquance, un groupe ou pirate qui ne maitrise pas toute la chaîne de l'infection (création du malware jusqu'au mécanisme pour infecter les PC) peut alors acheter des kits ou malwares.
Résultat explosion du nombre de malwares en ligne depuis quelques années.
Distribution : Affiliation & “Trafic Management System”
Afin d'optimiser au maximum la distribution de leurs malwares et donc l'infection à grand échelle... Certains groupes mettent en place des systèmes d'affiliations via des “Trafic Management System”.
Le principe est simple, une personne s'inscrit sur le site de “Trafic Management System” et reçoit un identifiant avec un lien souvent de la forme http://www.example.com/in.cgi?user ou
Ce lien redirige vers un exploit ou malware et permet l'infection du système, la personne inscrit reçoit un % d'argent sur un volume ou pour chaque malware installé réussi.
Il convient donc à cette personne de maximiser, à son tour, afin de faire un maximum de profit.
Le groupe distribuant le malware a plein les plus pouvoir au sein du Trafic Management System
http://www.example.com/in.cgi?user se contente de rediriger l'internaute vers un lien infectieux par exemple http://www.malware.com
Au bout de deux jours si http://www.malware.com est connu par les antivirus et blacklister, d'un simple clic les auteurs peuvent faire rediriger http://www.example.com/in.cgi?user vers http://www.malware2.com
De même, selon la provenance (pays) ou les heures, il est possible de faire rediriger vers tels ou tels liens.
Certains webmaster de sites pornographiques peuvent alors mettre ces liens sur leurs sites et toucher de l'argent, sorte de sponsoring.
C'est ce qui peut arriver pour les malwares de types Zlob/Faux codecs, une image pornographique pointant vers un de ces Trafic Management System aboutissant à une infection Faux Codec/Zlob
D'autres groupes de pirates spécialisés dans le hack peuvent hacker un grand nombre de sites afin d'introduire ces Trafic Management System sous forme d'iframe par exemple.
A la visite du lien, les internautes seront redirigés vers ces Trafic Management System qui peuvent pointer sur des exploits.
Ces Affiliation & “Trafic Management System” permet donc à un tiers de se faire rémunérer via les infections.
Un autre aspect des affiliations sont les de faux blogs de sécurité.
Hébergement, shell etc
Pour qu'une infection puisse fonctionner, vous devez avoir un site (ou plusieurs) WEB qui héberge le code malicieux, une machine (ou plusieurs) pour contrôler les machines infectées et éventuellement d'autres sites WEB pour faire la promotion de votre infection et bien sûr des noms de domaines.
Chaque jour des centaines de sites WEB, machines ou noms domaines utilisées dans les infections sont fermés (ou blacklister par les éditeurs de sécurité)
Chaque jour des centaines de sites WEB, machines ou noms domaines sont créés pour accueillir de nouveaux code malicieux.
Réel balai et jeu du chat et de la souris.
Sont en général privilégié les hébergeurs/registrars laxistes/passifs ou ayant un service abuse lent afin d'assurer un temps minimum de mise en ligne une non fermeture du nom de domaine/shells pour réussir une campagne d'infections.
Ceci fait donc les choux gras de beaucoup de registrars et hébergeurs.
Certains registars sont (ou étaient) connus pour être très utilisés par les auteurs de malwares notamment le registar estonien EastDomains jusqu'en 2008.
Depuis ce sont des registars comme TODAYNIC.COM, BIZCN.COM, INC. ou DIRECTI.
De même pour des réseaux (on pourrait citer McColo, Atrivo/Intercage) - A noter que ces derniers sont américains
Au vu du nombre de nom de domaines, shells achetés par jour par les cyberdélinquants, l'argent apporté par les infections à ces acteurs du WEB doit être non négligeable.
Cet utilisateur sur un forum underground qui propose un service d'hosting "BulletProof", c'est à dire qui ne ferme pas les serveurs utilisés pour héberger du contenu malicieux.
Les régies de publicités
Les régies de publicité sont utilisées de deux manières :
- soit pour charger des infections souvent par des par des exploits WEB, se reporter à la page : malvertising : publicités malicieuses
- soit les bannières qui font la promotion de logiciels ou services plus ou moins douteux.
Ces programmes ont pour but d'ouvrir des popups de publicités intempestives sur les PC infectés, à chaque ouverture de popups, le cyberdélinquant distribuant le programme touche un %
Bien entendu cela fait fonctionner les régies de publicités en faisant grimper leurs statistiques qui sera utilisé pour leurs marketings.
La seconde utilisation des régies de publicités est la promotion de logiciels plus ou moins douteux via des bannières de publicités.
Personnellement je ne vois pas les publicités sur les sites WEB mais quand je surf depuis d'autres PC et que je vois sur les sites français les programmes mis en avant c'est effrayant.
Le Dossier Adwares/PUPs : programmes indésirables et parasites résume bien ces pratiques.
N'oublions pas non plus les arnaques de supports téléphoniques poussés par divers régies publicitaires.
Bref, les éditeurs de programmes plus ou moins douteux alimentent depuis quelques années les publicités des régies de publicités.
Autres business
Il existe aussi d'être programmes en vente qui permettent d'abuser des services ou autres.
Par exemple pour faire de l'argent rapidement via la monnaie virtuelle Bitcoin
abuser Instagram
ou cracker des adresses emails :
ou un programme de vérification de proxy
Sans oublier les jeux en ligne :
Conclusion
Depuis quelques années on assiste a une professionnalisation des infections dû à l'appât du gain.
Autour des infections est née une nébuleuse de petits groupes vendent leurs savoir et service.
Du côté des grandeurs acteurs de l'informatique ou de l'internet, si l'explosion des infections peut faire *la joie* des éditeurs de sécurité, indirectement un apport de revenus non négligeable à de grands acteurs du WEB est aussi à signaler.
Lien supplémentaire sur le sujet du lab de Kaspersky : Économie des réseaux de PC zombies et Botnet Business
Pour aller plus loin, ou si la sécurité vous interresse, voici des documents/reportages sous forme de vidéos :
- 25 ans de malwares et mise à jour du Projet AntiMalwares
- Envoyé Spécial : Cybercriminalité
- Vidéo : La guerre invisible (Arte) - (botnet, cyberguerre etc)