Cedric PERNET - Forensics, Malware & Cybercrime

Aller au contenu | Aller au menu | Aller à la recherche

jeudi 30 octobre 2014

Looking for a new jersey

Well, as you probably know, I am french. Some of my friends do not agree, and say that I am not a real french, because I do not like strong cheese, I do not like eating ducks (in any way), and all wine tastes the same for me, in opposite to beer. Also, I hate european football, but loooooove american football, my favorite team being the Patriots from New England.

On the other hand, I must admit I have a little kink for american football team's jerseys. I already have one from the Patriots, yet I wanted one from the Miami Dolphins.

So here I am, googling to find a new jersey at an attractive price, in french language.

Using a simple request like "jersey miami dolphins pas cher" which means "jersey miami dolphins cheap" in Google, I get the following as first result:

jersey1.png

As you can see, the first results are from "Google Shopping" and do provide links to legitimate websites like nike.com.

Then, more interestingly, I get results from Google Image. The first image shown, on which my mouse pointer is, leads to a domain named maillot-foot-nfl-nba.com.

Following this link, I get a nice page from an online store showing me the jersey of my dreams:

jersey2.png

At this point, there are several little details which should raise suspicion for anyone:

  • At the top of the web page, there's a line "Vente de DIR_WS_SEO_KEYWORD" which looks very ugly and unprofessional. Would a real seller really keep this ugly line up there ? Probably not.
  • Look at the price !!! 69% discount on that product !!! It brings the price from 99€ (which is quite the usual price for that product) down to 30.99€.
  • Bad language. I am writing this blog post in english and showing french stuff, ok, but I can tell you that if you go to any page of the web site, you'll see loads of spelling mistakes and even sentences which do not mean anything. The "general conditions" page is a must-read for french people, it is full of language problems.

Clicking on some of the general pages of the web site is quite instructive. In the middle of the description for shipping, written in french, some spanish can be seen: "Aceptamos Visa, Mastercard, Paypal y tarjeta de crédito!" ...

There can only be one conclusion to all of this: this website is fraudulent, selling counterfeit products, and no one should buy products there.

Now if I come back to my Google research, and look at the Google image links on the right of the one I followed, the domains are:

  • www.boutiquesprofr.com
  • www.forschungsinfo.de
  • www.giacche.eu

By carefully watching these websites (except for forschungsinfo.de, which to clarify is a real site which has just hosted links to a fraudulent one, and the link has been removed), we could come to the same conclusion: counterfeit products are sold there.

Now one might think that these websites are build up by isolated fraudsters looking for easy money. The reality is a bit different, and that's why I am blogging, I wanted to bring some more insight to this kind of fraud and raise some awareness for people on Internet.

For starters, once again if you look carefully at all pages from such a website, you can find something more interesting than spelling mistakes: links to other websites.

Reading the "shipping info" from boutiquesprofr.com for example, the first line mentions that "sacmiumiu.com offre la livraison gratuite" , which means that "sacmiumiu.com offers free shipping".

Why the hell is a website called sacmiumiu.com mentioned in the shipping info of boutiquesprofr.com (which by the way means "prostorefr.com") ?

Well, the reason for that is that fraudsters do not build a single website to sell counterfeit products. They do build LOADS of different websites. You might think it takes a lot of time to do it, but it takes less than one or two hours to do. These fraudsters do use websites templates, which they just slightly modify from one site to the other. From the single sentence found on boutiquesprofr.com, we can expect it to use almost the same template as sacmiumiu.com.

sacmiumiu.com does not exist anymore, yet just by googling this name you would find interesting stuff : ads for it in guestbooks showing links to other counterfeit products websites, etc... Looking for it on archive.org, a website which shows past versions of websites, you would even find that the website has indeed been transfered by judge decision to Louis Vuitton because it was selling counterfeit products.

So, with few googling and wise use of archive.org, we already found out that our guys from "boutiquesprofr.com" were somehow connected to "sacmiumiu.com".

What else can be found ?

Let's go back to the first website I found, maillot-foot-nfl-nba.com.

At the top left part of the website, a logo from the company "NEW ERA" is visible. Let's be a bit clever and use it to find other websites which contain the exact same logo. To do that, we can save the logo from maillot-foot-nfl-nba.com and then submit it to a Google Image search. By doing that, Google will show us all referenced websites which contain the same picture :

jersey4.png

Note: what you do not see in the screenshot is the fact that Google Image offers results showing images which are "close" to the image you submit. We need to focus on the exact same image, to avoid false positives. Moreover, if the fraudsters took the image from a legitimate website and did not modify it, we will get false positives we need to remove from the analysis.

Once again, the results are quite interesting: we easily fall on several fake products sellers.

This provides us a very easy method to group fake websites.

Ok, what do we know now ? We know that there are hundreds of websites selling fake products, using more or less the same templates and techniques.

How about having a look at the people who register these domain names ?

Let's have a look at the Whois information for our favorite website, maillot-foot-nfl-nba.com.

Registrant Name: mingsheng zheng
Registrant Organization: zhengxiansheng
Registrant Street: haikoulu10
Registrant City: haikou
Registrant State/Province: hainan
Registrant Postal Code: 570100
Registrant Country: CN
Registrant Phone: +86.13800000000
Registrant Phone Ext: 
Registrant Fax: +86.13800000000
Registrant Fax Ext: 
Registrant Email: registrar@mail.zgsj.com
Admin Name: mingsheng zheng
Admin Organization: 
Admin Street: haikoulu10
Admin City: haikou
Admin State/Province: hainan
Admin Postal Code: 570100
Admin Country: CN
Admin Phone: +86.13800000000
Admin Phone Ext: 
Admin Fax: +86.13800000000
Admin Fax Ext: 
Admin Email: capsshopnet@gmail.com

Once again, this really does not look like Whois information a legitimate merchant would use: the phone numbers seems to be fake, and the e-mail address is on gmail.com, yet this is very interesting for us in terms of investigation.

So, by doing some reverse whois researches, we can find 23 domains, additionally to maillot-foot-nfl-nba.com, which have been registered by capsshopnet@gmail.com :

jersey5.png

Oh my, our friend "capsshopnet" has counterfeit stuff in french, spanish, and german, what a great linguist, this might explain all the spelling mistakes on these websites ;-)

What about the hosting ? Well, maillot-foot-nfl-nba.com is currently hosted on 223.26.62.200, which belongs to:

inetnum:        223.26.62.0 - 223.26.62.255
netname:        SUN-HK
descr:          Sun Network - DataCenter Service
                TRANS ASIA CENTER, KWAI CHUNG
country:        HK
admin-c:        DA179-AP

Let's look at some Passive DNS information. Which other domains have lead to this precise IP address currently or in the past ?

The results are other counterfeit products websites (except for kkk345.com which is about pornographic stuff)

kkk345.com
www.kkk345.com
www.gorras-obey.com
gorrasbaratas.com
www.gorrasbaratas.com
maillot-pascher.com
www.maillot-pascher.com
zapatos-baratas.com
www.zapatos-baratas.com
www.maillot-foot-nfl-nba.com
www.kkk3.org

Now let me please represent all this data in a structured form (click to enlarge):

Complex web of counterfeit products domains

I will end this blog post here. I just wanted people to be a bit aware that the underground of counterfeit products is huge, and that few minutes of investigation can lead to the discovery of a complex web of Internet websites run by fraudsters.

One might wonder about the number of people involved in that kind of fraud. There are probably several people to register the websites, several people to build the content (and we can be pretty sure some other people are selling the web pages templates), to handle the orders, to manufacture the products (probably hundreds/thousands of people here), etc.

I stopped my investigation at this point, because it was done on a rainy night at home. A lot is uncovered here: I did not look for every domain whois, I did not look for all the hosting data and IP ranges, I did not really search for any real person attribution.

By digging more on all these data, we could probably find much more fake products websites and persons involved, but once again, my goal here was just to raise awareness on a kind of fraud and describe it a bit.

So what have we learned here ?

  • There are people probably working fulltime on registering websites, building websites (and people making/selling templates), having them indexed on Google and other places (black SEO), to sell counterfeit products coming mostly from China (that's what you discover when you order something), all of this in several different languages.
  • Dozens of websites are handled by the same people
  • These people do sell every kind of products you can think of: fake jerseys, fake tshirts, fake caps, fake shoes, fake handbags, fake sunglasses ... (you can guess it looking at the domain names from the previous image)
  • The fraud is obvious when you take the time to really analyze the content a bit. You should NEVER BUY A PRODUCT WHICH LOOKS AMAZINGLY CHEAP, or from a website with loads of spelling mistakes.

Thank you for your reading, this was some kind of fun post blog I've done in a hurry last night. See you soon ! :-)

lundi 12 septembre 2011

Un aspect intéressant du typosquatting : fuite d'information par mail

Le typosquatting de noms de domaines consiste à acheter des noms de domaines proches de noms de domaines existants, souvent d'entreprises.

La plupart du temps, ce dépôt de noms de domaines a pour but de nuire à l'image d'une entreprise en y plaçant un contenu diffamant ou portant atteinte à son image publique.

D'autre fois par contre, le typosquatting est l'oeuvre d'une autre catégorie de cybercriminels poursuivant des buts plus malveillants :

  • Diffusion de malware : un exemple célèbre : goggle.com. Je n'ai pas vérifié si c'est toujours le cas mais le site délivrait du malware lors de sa consultation. On imagine aisément que cela a pu impacter des milliers de personnes qui avaient mal tapé "google.com" dans leur barre de navigation. Se faire infecter son ordinateur parce qu'on a mal tapé une adresse, c'est bête quand même :-/
  • Collecte d'information : cet aspect est assez peu documenté, et c'est là qu'intervient à point nommé une étude de Peter Kim et Garrett Gee, nommée "Doppelganger Domains".

En gros, l'idée est de typosquatter des noms de domaines de certaines entreprises, dans le but de collecter tous les e-mails envoyés par erreur vers leur domaine. Un "Doppelganger Domain" est un nom de domaine frauduleux, écrit de la même façon qu'un nom de domaine légitime, mais sans le "." entre un sous-domaine et le domaine.

Un peu confus ? Un exemple :

1. L'entreprise OnestLesMeilleurs dispose d'un nom de domaine onestlesmeilleurs.com (qui n'existe pas au moment de la rédaction du présent article). Leur site Internet se trouve sur fr.onestlesmeilleurs.com.

2. Un fraudeur enregistre le nom de domaine fronestlesmeilleurs.com : notez qu'il manque le "." entre le nom de domaine et le sous-domaine, faisant ainsi la différence avec le site légitime.

3. Le fraudeur configure un serveur mail permettant de récupérer tous les mails ("catch all") envoyés vers fronestlesmeilleurs.com

4. Le fraudeur attend, et voit des mails arriver : il s'agit de mails de gens ayant oublié de taper le "." dans le nom de domaine, et envoyant tout type d'information. Il peut s'agir de données confidentielles à destination d'un employé de la société ... Ou de mails contenant des références de cartes bancaires, etc.

Le fraudeur peut même se faire passer pour le destinataire et répondre à l'émetteur, sans que ce dernier n'y fasse attention : le vol de données/la fuite d'information se poursuit...

Les chercheurs ayant rédigé l'étude "Doppelganger Domains" ont voulu tester le volume d'information pouvant être collectée par ce biais, et l'impact éventuel sur des entreprises du "Fortune 500".

Le résultat est plutôt édifiant : sur 500 sociétés, 151 sont vulnérables à une telle attaque, soit près de 30%.

Les chercheurs ont enregistré 30 "doppelganger domains" et ont observé ce qui se passait pendant 6 mois. Ils ont ainsi collecté près de 120 000 mails, représentant près de 20 gigabytes de données.

A noter que pendant ces 6 mois, une seule société a mené une action contre le doppelganger domain qui l'impactait. (probablement par une récupération de nom de domaine usurpant la marque...)

Comment protéger son entreprise de ce type d'attaques ?

  • Déployer une veille active sur tous les noms de domaines typosquattés susceptibles d'impacter la société.
  • Déposer tous les doppelganger domains et plus généralement tous les domaines estimés "à risque", à titre préventif.
  • Récupérer tous les noms de domaines typosquattés déjà enregistrés par des tiers, en procédant notamment par une procédure UDRP.

jeudi 24 février 2011

With love from FREE

Les phishing FREE sont monnaie courante, mais je n'avais pas fait attention au message de remerciement fourni par les fraudeurs lorsque le processus de soumission de données arrive à son terme :

phishing_free.PNG

Décidément, les fraudeurs ont de l'humour... (et merci @Jipe_ pour l'info ;-) )

jeudi 24 juin 2010

PHISHING : des oeillères pour les mules

Je n'aime pas trop certains termes français relatifs à la cybercriminalité. Parmi eux, le "hameçonnage". Je me permettrais donc de parler de "phishing", les puristes de la langue française m'excuseront.

Je ne vais pas revenir en détails sur ce qu'est le phishing. Le principe est simple : des cybercriminels créent des fausses pages web imitant une cible particulière (banque, fournisseur d'accès Internet, etc.) et envoient des milliers d' e-mails au petit bonheur la chance en se faisant passer pour la cible. Prenons l'exemple d'une banque : les fraudeurs se font passer pour la banque, et sous un prétexte quelconque (souvent une mise à jour de sécurité) ils demandent à l'internaute de cliquer sur le lien "qui rétablira tout". Un internaute crédule ira donc se connecter sur la page, qui est une fausse page imitant sa banque, et entrera ses identifiants et mots de passe bancaires... Il ne reste plus pour les fraudeurs qu'à se connecter à la place de l'internaute, sur sa véritable banque, et à profiter du compte bancaire.

Seulement, il y a un petit hic : ces fraudeurs sont localisés ailleurs dans le monde, en Ukraine ou en Roumanie par exemple. Sachant que la plupart des banques françaises n'autorisent pas de virements bancaires directs vers l'étranger, les pirates ont dû trouver une parade. Ils ont contourné le problème en lançant des campagnes de recrutement de "mules". L'idée était de créer de fausses entreprises (souvent avec site web) qui sous prétexte de travailler dans le secteur financier mais pas dans votre pays vous proposent de travailler pour eux de chez vous. Le principe et les slogans sont accrocheurs, du style: "gagnez jusqu'à 5000 Euros par mois, en travaillant de chez vous, moins de 3 heures par semaine."

En fait, les fraudeurs allaient se connecter sur les comptes des victimes "phishées", et effectuaient des virements bancaires vers les mules. Ces mules devaient ensuite renvoyer la somme amputée de 3 à 10% vers une adresse étrangère (Ukraine pour l'exemple). Ce transfert d'argent était effectué par des sociétés telles que Western Union, etc.

La mule garde donc un faible pourcentage de l'argent volé aux victimes. Jusqu'à son interpellation et sa garde à vue en tout cas, ce qui arrive invariablement et plutôt rapidement... A peine le temps d'acheter un chat et déjà en garde à vue... (private joke) ;-)

Les mules sont recrutées au hasard mais également de façon plus ciblée, sur des sites de recherches d'emplois etc. (Voir ici pour un bon article sur le sujet.)

Quoi qu'il en soit, j'examinais une campagne de recrutement de mules par mail il y a quelques jours, lorsque j'ai vu une nouveauté pour le moins intéressante dans les e-mails des fraudeurs : (les xxx et les mentions entre parenthèses sont une anonymisation effectué par mes soins)


---

Dear xxx

This is (fake name) from (fake company). I was assigned your Regional Instructor and from now on you’ll be working under my supervision. I’ll be providing you with all necessary information and submitting tasks to complete. I do hope we’ll enjoy working together.

I wish to begin this letter by saying thanks to you for applying for the job of the(fake company). We appreciate the opportunity to meet you and learn more about your interests.

In order to join our team as soon as possible, you have to confirm your intention to work with us by filling in and sending us the contract and the application form (please see it enclosed).

The procedure is as follows:

1. Please register at this link to receive a personal account in our online system: http://xxx

2. Read our FAQ: http://xxx

3. Download our secure transaction certificate: http://xxx.exe

4. Download the contract at this link http://xxx

Please read it carefully, fill in the required fields, sign it and send it scanned back (with your photo attached) to our corporate e-mail: (e-mail address for the fake company)

You can also fax your application Our fax number is xxx

You will become our official employee and receive your first assignment as soon as this is done.

Note: Please read and fill in all the forms very carefully to eliminate possible malfunction of your account. After the registration you will be put in the waiting list for activation of your account, which is necessary to start the job. The approximate time is about 1-2 days, so just wait for a response, please.

You will enjoy the comfort of working with us. We take the responsibility to send you information about the transfers to your account, payment processing details and other details very promptly to assist and to facilitate your job.

My job is to assist you in managing payments and I'll be happy to do the utmost to help you whenever possible.

---

Notez le point 3 que j'ai mis en gras : on demande à la mule de télécharger et d'exécuter un fichier exécutable. Ma tête se transforme en carillon lorsque je lis ce genre de chose, remplie de sonneries d'alarmes : ATTENTION, DANGER, il s'agit probablement d'un malware.

Un téléchargement plus tard et une analyse rapide plus loin, force est de constater qu'effectivement, il s'agit d'un code malveillant. Son but ? Empêcher la mule de découvrir sur Internet que cette offre d'emploi est "bidon".

La seule fonction de cet exécutable est de changer le fichier "HOSTS" de la mule. En simplifiant un maximum, sous un système Windows, ce fichier permet de rediriger les navigations de l'ordinateur.

Les lignes suivantes sont ajoutées au fichier HOSTS :

127.0.0.1 google.com
127.0.0.1 google.co.uk
127.0.0.1 www.google.com
127.0.0.1 www.google.co.uk
127.0.0.1 suckerswanted.blogspot.com
127.0.0.1 ideceive.blogspot.com
127.0.0.1 www.bobbear.co.uk
127.0.0.1 bobbear.co.uk
127.0.0.1 reed.co.uk
127.0.0.1 seek.com.au
127.0.0.1 scam.com
127.0.0.1 scambusters.org
127.0.0.1 www.guardian.co.uk
127.0.0.1 ddanchev.blogspot.com
127.0.0.1 aic.gov.au
127.0.0.1 google.com.au
127.0.0.1 www.reed.co.uk

Le résultat de cette modification ? Toutes les navigations de l'utilisateur vers les sites listés ne fonctionneront plus. (oui oui je sais je simplifie à outrance, c'est de la vulgarisation et pas un doc technique ;-) )

La plupart de ces sites sont des sites soit de recherches (google) soit des références mondiales de lutte contre le phishing/recrutement de mules (reed.co.uk et bobbear.co.uk en particulier)

Ainsi, si la mule essaye de se renseigner sur les échanges avec les fraudeurs et la campagne de recrutement en allant consulter ces sites, elle ne pourra pas obtenir d'information. D'où le titre de cet article...

Cette méthode est intéressante et nous montre que les cybercriminels continuent de déployer des trésors d'ingéniosité pour maximiser les gains de leurs arnaques et rentabiliser le temps passé à les mettre en place. Bien que la plupart des solutions anti-virales détectent ce code malveillant, le problème en matière de phishing reste esentiellement humain, et la sensibilisation reste une clef de voûte dans la lutte contre ce type d'escroqueries.

jeudi 20 mai 2010

Fraudsters e-mail addresses : carders.cc case

Yesterday, Brian Krebs published the story of a carding forum, carders.cc, which has been compromised.

In brief, a carding forum is an Internet-based forum where carders are getting in touch, doing fraudulent business, exchanging stolen credit card/credentials, information, tools … One could think that such dark places would be hidden deeply on Internet, but some are very visible. You could also think that such forums would be highly secured, but sometimes they’re not. Well, carders.cc was as visible as vulnerable, it seems.

Anyway, back to our story. The hackers, naming themselves "happy ninjas" (and we all know ninjas are stronger than pirates...), managed to get access to all the data from carders.cc. Amongst these data were stolen banking credentials and credit card numbers from victims, but also, what interested me most, data about the carders themselves. They published some of these data on a public server. (I caught it just by reading some tweets…)

Numerous articles have already been published about the case, but I didn’t see any about the specific point of interest for me: the 3726 unique e-mail addresses of the members of the forum.

Seeing all these complete e-mail addresses, I asked myself some questions :

• Do the fraudsters have favorite e-mail services?

• Do the fraudsters use more gTLDs or ccTLDs?

• Do the fraudsters use only generic webmail providers, or do they also use specific providers? Maybe even corporate addresses?

I quickly started to parse and analyze the data, and the first results were there.

domains.PNG

TOP 20 DOMAINS USED BY THE CYBERCRIMINALS (click the image to zoom)



domains-tab.PNG

From the 3726 unique e-mail addresses, there were 349 unique providers.

Carders.Cc is a German forum. Therefore, it is not surprising to see three German domains (web.de, gmx.de, hotmail.de) as being the most used provider. We can assume that if these people use a German e-mail address on an e-mail forum, using sometimes German nicknames, chances are that these cybercriminals don’t use proxies and browse the forum using their real IP address. This supposition has been confirmed by the happy ninjas :

“Sure, some of you maybe always used a proxy... Most of the administrators and moderators didn't. Did you?”

The first anonymous e-mail address provider is mail.3dl.am, ranked 12. This website garantees that your IP addresses are never logged when using their services. Sounds like a bulletproof webmail system.

Immediately following 3dl.am is owlpic.com, a temporary e-mail system. This allows people to register on the forum using a one-time e-mail address.

The 300 domains after the TOP 50 have been used less than 5 times, and 230 domains have been used in a single way. Some corporate companies are used. They are probably compromised accounts. This is interesting, but you will have to find them by yourself : for confidentiality purposes, I am not copying them in this document.

Now about the TLDs used:

tld.PNG

TOP 8 TLDs used by the fraudsters (click the image to zoom)



tld-tab.PNG

We see .de is almost twice as much used as its follower, .com. Then it decreases quite fast.

Amongst the TLDs there are some ccTLDs which are quite surprising to witness here : .AM (Armenia) , .AI (Anguilla), and .MU (Mauritius)

.AM appears 67 times. The reason is the use of a mail.3dl.am free anonymous e-mail service in german language.

.AI appears 27 times, being used for hush.ai service.

.MU has been used 18 times for the domain kuh.mu, currently down.

I stop my little analysis right here, since I have already spent too much time on it yesterday night ;-)

Let me finish with some axes of researches:

• IP addresses. There are thousands of IP addresses linked to the fraudsters. It would be very interesting to have some statistics on these.

• Passwords. Cracking the passwords could provide us with funny statistics about most common passwords used, their length, their geekness, and so on… ;-)

Have fun ! :-)

mercredi 5 mai 2010

Services Abuse : la nouvelle cible des cybercriminels

Au beau milieu des acteurs de la réponse à incident de sécurité informatique se trouvent les services "Abuse". La quasi-totalité des hébergeurs disposent d'un tel service, généralement joignable exclusivement par e-mail à "abuse@nomduFAI". Ces services travaillent sur des aspects techniques afin de faire respecter le bon usage de leurs services et de protéger les internautes de certaines menaces. Ainsi, parmi leurs missions les plus fréquentes on trouve en particulier le traitement des signalements des cas :

  • de sites illicites hébergés au sein de leur parc (qu'ils feront fermer/désactiveront) ;
  • de malware hébergés sur les sites web de leurs utilisateurs (qu'ils retireront) ;
  • de spams envoyés ou reçus ;
  • de compromission de serveurs ;
  • etc.

Ces services collaborent étroitement avec les équipes CERT ainsi qu'avec les services judiciaires afin de faire cesser au plus vite toute infraction.

Seulement voilà, il s'agit de...la théorie. Dans la pratique, les services abuse sont souvent lents, et relativement opaques. Malgré le fait qu'en France, ils aient l'OBLIGATION de faire retirer les contenus illicites dès qu'ils en ont connaissance, les délais d'intervention de ces services sont très variables. Les services abuse répondent souvent à un mail par un message automatisé, ou ne répondent pas du tout, et vous envoient un mail (ou pas) lorsqu'un incident est résolu. Parfois ils agissent sans fournir aucun retour, ou n'agissent tout simplement pas.

Du coup, le meilleur moyen de savoir s'il y a eu une action de leur côté est souvent de consulter régulièrement la page web à problème (dans le cas d'un site de phishing par exemple) jusqu'à la voir disparaître.

Les services abuse sont également les ennemis des cybercriminels. C'est le jeu, et ces derniers ont pour habitude de faire héberger leurs contenus frauduleux sur plusieurs serveurs différents, sachant pertinemment qu'ils seront fermés au fur et à mesure.

Récemment cependant, nous avons pu observer un nouveau type d'attaque ciblée de la part de certains cybercriminels. Ces derniers écrivent au service Abuse en se faisant passer pour un internaute ayant un problème de sécurité, un mail parmi tant d'autres à traiter... Ils prétextent avoir vu un site de phishing, et indiquent un lien vers une page frauduleuse que l'équipe de réponse à incident va consulter afin de vérifier la véracité des dires de l'internaute. Mais ce lien les dirige directement sur une page dont le seul but est... d'infecter le service Abuse avec un cheval de Troie !

Voici un exemple d'un tel e-mail :

--

To: abuse@bank.com

Cc: fraud@bank.com; scams@bank.com; customersupport@bank.com; security@bank.com

Subject: Possible Fake Web Site

Hello, I just received an email stating it was from your bank and since I don't have any accounts with you I think this is a fake site. I just thought you might like to know someone is trying to scam your customers.

The email had the following link to your bank (link)

Thanks, I hope you catch the scammers.

--

Les intérêts d'une infection d'un service abuse sont multiples mais je vois surtout les possibilités de :

  • disposer d'une porte dérobée au sein de l'entreprise, pour ensuite rebondir et compromettre d'autres machines de l'entreprise. Le fait qu'une adresse mail "abuse@fournisseurdacces" existe presque toujours y contribue ;
  • observer le mode de fonctionnement du service ;
  • usurper l'identité du service abuse afin de contacter d'autres services ou clients et les infecter avec des malware ;
  • espionner les mails parvenant au service abuse pour obtenir de l'information utile transmise par les clients (numéros de cartes bancaires, identifiants et mots de passe d'accès à des services, etc.).

Dans l'exemple réel que nous avons cité, et dans lequel nous avons évidemment changé les adresses pour respecter l'anonymat de l'établissement bancaire ciblé, vous pouvez voir en plus que les fraudeurs ont envoyé leur e-mail vers plusieurs services "à l'aveugle" : des adresses ayant des chances d'exister ont été ajoutées (security@, fraud@, customersupport@ ...).

Comme toujours donc, que vous soyez un particulier ou un professionnel de la sécurité informatique, la prudence est de mise. Favorisez les navigateurs exotiques, soyez toujours à jour au niveau de votre logiciel anti-virus, et soyez préparés à rétablir un système sain rapidement en cas d'infection.

Article également publié sur ZDNet et sur le blog du CERT Lexsi.

mardi 6 avril 2010

Forum International Cybercriminalité 2010

Bonjour à tous/toutes,

Je viens de publier un petit compte-rendu de ma visite du FIC 2010 (Forum International Cybercriminalité) à Lille... Ca se passe sur le blog du CERT Lexsi.

lundi 22 février 2010

Rapport sur les menaces informatiques 2009 - ScanSafe

ScanSafe, société appartenant au groupe Cisco, a récemment publié son rapport annuel 2009 portant sur les menaces informatiques. Cette étude est entièrement basée sur l'analyse de trafic web géré par ScanSafe. Même si le document ne présente rien de révolutionnaire, il a le mérite de rappeller certains faits que je trouve intéressant et que je me permet d'agrémenter de quelques commentaires :

  • Vouloir réduire le challenge de la sécurité à une lutte contre les malware est une hérésie. D'autres menaces sont tout aussi présentes : fuite d'information par méthodes autres que malware (complicité interne par exemple), espionage, etc...
  • Malgré la médiatisation récente importante d'un certain nombre de cas avérés de cyber-espionage, les grandes entreprises (Google et d'autres récemment) continuent à se faire infiltrer par des méthodes très classiques : attaques ciblées menant à des infections par trojan notamment. Pas besoin donc de déployer des méthodes vraiment "super high-tech", il suffit d'un minimum de connaissances pour modifier une souche de malware existant et infecter un poste clef... Ou même juste de connaitre la solution anti-virale qu'on a en face...
  • Le nombre moyen de compromissions, de vol de données, et d'attaques uniques a augmenté de façon dramatique en 2009 pour les entreprises.
  • Le secteur de l'énergie et du pétrole ont subi une augmentation de 356% des tentatives d'infection par malware de type chevaux de Troie. De même, 252% d'augmentation pour les secteurs pharmaceutiques et chimiques. Les autres secteurs d'activités a avoir vu leurs risques augmenter de façon conséquente sur ce type de menaces sont le secteur financier (guère étonnant...) et le gouvernement.
  • Il n'existe plus de malware "facilement détectable" : le taux de détection positive par les anti-virus traditionnels (à signature) n'est plus que de 60%.
  • Tant qu'il y aura des utilisateurs crédules, les fraudes seront faciles à mettre en oeuvre. Deux solutions : la première, guère crédible, consiste à éliminer les utilisateurs. La seconde, beaucoup plus applicable, est de les sensibiliser autant que possible aux notions de sécurité informatique. Encore une fois, on n'imaginerais pas confier une voiture à une personne sans permis de conduite...
  • Les enfants ? Quid des adultes ? La principale préoccupation des parents a toujours été de protéger leurs enfants en ligne. Mais songent-ils à se protéger eux-même ? Quelqu'un me murmure "fail" à l'oreille...

Sur un plan purement malware :

  • Progression forte des attaques par document PDF au détriment des attaques exploitant Flash. (Et augmentation significative du nombre de vulnérabilités recensées par Adobe...)
  • Le botnet le plus prolifique en 2009 a été Gumblar.
  • Les infections Conficker + KoobFace ne représentent que .05% des infections web malware de 2009.

Enfin, le document souligne le fait que si les entreprises ne sont pas capables de tirer profit de leurs erreurs passées, elles courent à la catastrophe. Je clotûre donc ce post par cette citation qui a une saveur toute particulière à mes oreilles:

"Those who cannot remember the past are condemned to repeat it".

A bientôt ;-)

mardi 16 février 2010

Phone-by Download ?

Depuis quelques années, la technique du "drive-by download" s'est développée de façon spectaculaire, permettant à des cybercriminels d'infecter des ordinateurs de façon totalement transparente. Ces ordinateurs sont souvent délaissés au niveau de leur sécurité : les patchs de sécurité ne sont pas appliqués, il n'y a pas d'anti-virus, pas de firewall ... Des machines comme ça, nous en avons tout autour de nous, et elles ne mettent jamais longtemps à se faire infecter par des malware divers et variés, malheureusement.

Le "drive-by" download désigne en fait toute méthode qui permet de faire télécharger et exécuter à l'insu de l'utilisateur un contenu (la plupart du temps) malicieux. La méthode la plus judicieuse dans ce cadre reste d'infecter un site "légitime" et d'y placer son malware. Mettre en place un drive-by download de ce type est simple pour un pirate : il compromet d'abord un site, si possible à forte visibilité, qui garantira une forte propagation de son contenu malicieux. Puis il y place des liens, des redirections, ou directement une exploitation d'une ou plusieurs vulnérabilités.

L'ancien adage du "tu ne surferas point sur des sites immoraux, de peur d'attraper un virus" n'est plus vrai : on peut se faire infecter en naviguant sur des sites parfaitement respectables. Les exemples sont nombreux : CNN, Yahoo etc... Le premier cas de drive-by dowload sérieux dont je me souvienne est celui du stade des Dolphins de Miami, juste avant une finale de Superbowl, en 2007 : les pirates avaient réussi à compromettre le site principal de l'évènement et propageaient une variante d'Haxdoor, un malware de type cheval de Troie bien connu pour dérober notamment les accès de comptes bancaires... Un exemple précis ici, si vous voulez creuser un peu le sujet. En fait, le manque de sécurité des administrateurs de certains serveurs web joue en faveur des pirates tout autant que le manque de sécurité des postes utilisateurs. Il existe des centaines de milliers de sites légitimes compromis dans le seul but de propager du malware...

Les buts poursuivis sont variés : infections des ordinateurs par des chevaux de Troie qui vont "voler" les identifiants et mots de passe bancaires des utilisateurs, propagation de spam, collecte de données sensibles, etc.

Depuis peu, certains cybercriminels ont décidé de propager leur contenu d'une façon moins conventionnelle : ils procèdent par "phone-by download". (Je n'ai pas inventé le terme...)

En effet, j'ai eu vent d'attaques pour le moins originales ciblant des utilisateurs :

  1. Le pirate téléphone à sa victime.
  2. Le pirate se fait passer pour un centre d'appel d'un opérateur, d'une banque, d'un prestataire quelconque, tous les scénarios sont envisageables.
  3. Le pirate utilise un prétexte quelconque, souvent une mise à jour de sécurité, pour prévenir la victime de l'imminence d'un problème : "Attention, suite à (broder ici), vous devez mettre votre ordinateur à jour, sinon (décrire ici une catastrophe du style perte totale de vos images de vacances). Si le pirate est malin, il a posé quelques questions préalables qui lui permettent de connaitre le degré de crédulité de son interlocuteur.
  4. Le pirate propose alors la solution miracle : "rendez-vous sur le site xxxxxxxxxxxx.com, quand il vous demande de cliquer OK faites-le, et tout rentrera dans l'ordre."
  5. Je vous laisse imaginer ce que la victime crédule va faire... Et se retrouver infectée par un malware qu'elle aura accepté.

Cette méthode présente un inconvénient majeur pour le pirate : elle ne permet pas d'infecter beaucoup de machines. Cependant, dans le cas d'une attaque ciblée, dans laquelle le pirate vise une personne en particulier (généralement pour du vol d'informations sensibles), ce n'est pas un problème. D'autant plus que les utilisateurs commencent à se méfier des spam, mais se méfient beaucoup moins d'un contact "réel" avec un autre être humain.

Finalement, cette nouvelle attaque se contente d'utiliser les bonnes vieilles méthodes de social engineering des années 80 en mêlant usurpation d'identité et crédulité de certains utilisateurs. Efficace.

mardi 6 octobre 2009

Les surprises d'URLZone

Récemment une étude de Finjan a généré un buzz médiatique assez important autour d'un malware connu sous les alias d' URLZone ou encore de Bebloh.

Ce malware est un cheval de Troie bancaire, un code malveillant conçu et développé pour voler vos identifiants bancaires. Mais plus que ça, ce malware dispose de la capacité de générer des transactions bancaires "à la volée". Lorsqu'une victime se connecte sur son compte bancaire et génère un virement bancaire légitime, la requête est interceptée de façon transparente par le malware. Ce dernier modifie les informations de transaction, et envoie de l'argent vers une mule. (Une mule est un intermédiaire recruté par les fraudeurs, qui reçoit l'argent détourné et le renvoie vers les fraudeurs, souvent par Western Union, vers un pays exotique ... La mule conserve un faible pourcentage de la transaction, de l'ordre de 3 à 8% généralement)

Plusieurs familles de malware ont ce comportement, qui n'est pas nouveau. Une amélioration plus récente embarquée dans URLZone est de "truquer" la confirmation de virement et le relevé en ligne.

Encore plus étonnant, le malware, avant d'effectuer son détournement de fonds, vérifie...l'état du compte bancaire ! Le virement effectué par le malware tiendra compte de plusieurs paramètres dont le solde du compte, afin de minimiser les chances d'être découvert : le compte restera positif et les montants prélevés sont plutôt minimes. Brillant.

Enfin, dans le cas où la fraude est détectée par la victime ou par sa banque, suit logiquement le dépôt de plainte de la victime. Mais là encore, les fraudeurs déploient un dernier atout dans leur code pour augmenter les chances de passer inaperçu et perturber les enquêtes judiciaires... En effet, l'une des pistes utilisée par les enquêteurs est de suivre le parcours de l'argent : les sommes virées par le malware vont vers des mules identifiables. Les forces de l'ordre peuvent suivre ce parcours en demandant aux banques de leur transmettre les coordonnées des comptes bancaires des mules. Seulement, sur une enquête impactant des centaines de victimes, les services judiciaires font de la récolte de mules en accumulant les plaintes, et peuvent passer à côté de mules qui ont reçu de l'argent de victimes qui ne se sont jamais rendues compte de l'escroquerie...

Une méthode alternative serait donc d'infecter des machines dans des environnements de tests, afin de voir les transactions s'effectuer vers les mules (en les empêchant de passer bien entendu).

C'est là qu'intervient à nouveau l'ingéniosité des auteurs de ce malware : lorsqu'il détecte un environnement de test, au lieu de ne plus rien faire comme la plupart des autres malware, il reste actif et génère des virements... vers des victimes innocentes ! Ainsi, les chercheurs souhaitant collecter de l'information sur les mules se retrouvent dans un cul de sac... Et les forces de l'ordre vont perdre un temps précieux à enquêter sur des personnes qui n'ont rien à voir avec le schéma frauduleux d'URLZone.

Le ou les auteurs de ce malware nous démontrent, s'il était encore besoin de le dire, que les chevaux de Troie embarquent de plus en plus de techniques qui leur assurent non seulement des taux d'infection et une furtivité accrue, mais également des techniques qui augmentent leurs chances de ne jamais se faire arrêter.

mercredi 30 septembre 2009

Etude de réseaux d'affiliation : les Partnerka

Dmitry Samosseiko de Sophos s'est penché sur un type de cybercriminalité qui, bien que n'étant pas récent, n'a pas fait l'objet de beaucoup d'études quant à présent. Il s'agit du phénomène de l'affiliation.

Le principe est simple, et issu du marketing : des internautes disposant de sites web sont rémunérés par des sociétés d'affiliation ou des webmarchands afin de leur amener du trafic. Plus vous amenez de visiteurs à votre affiliant, plus vous gagnez d'argent.

Le hic, c'est que des cybercriminels utilisent l'affiliation de façon frauduleuse, et ce depuis plusieurs années, le phénomène n'étant pas nouveau mais faiblement documenté sur Internet.

L'étude de Sophos se concentre donc sur le déploiement de l'affiliation dans un cadre totalement illicite : l'affiliation vers des produits illégaux. En tête de liste, les sites de contrefaçons, qu'elles soient de produits pharmaceutiques (Viagra, Cialis, Levitra etc.), ou de produits de luxe (montres, sacs à mains etc.) ... D'autres sites ayant un fort besoin de trafic ne sont pas forcément illégaux mais encouragent des méthodes douteuses d'affiliation: casinos sauvages, sites pornographiques etc.

Et bien sûr, phénomène très en vogue ces derniers temps : les sites de "rogue anti-virus" ou "rogue AV".

Quoi qu'il en soit, même si certains sites sont à priori légaux, les méthodes déployées par les affiliés pour amener du trafic le sont moins :

  • Spam par milliards d' e-mails, avec un lien menant vers le site qui contient le numéro de l'affilié et lui permet d'empocher ses gains. Ces liens peuvent se présenter sous une forme très simple : un clic sur http://monsitepr0n.com/index.php?aff=123456789 indiquera au site monsitepr0n.com que le visiteur a été envoyé par l'affilié numéro 123456789 ... Cette méthode est de moins en moins déployée cependant, n'étant pas très discrète...
  • Malware de type chevaux de Troie (trojan) : l'utilisateur infecté effectue des recherches sur Google par exemple, et ne se rend pas compte que les résultats sont générés par le malware afin de pousser des liens vers les affiliants en premiers résultats...
  • Black-hat SEO (Search Engine Optimization) : Il s'agit ici de déployer un ensemble de techniques de SEO pour amener du trafic vers les affiliants : spams sur forums, Spamdexing, utilisation de divers logiciels de SEO, etc. Il n'est vraiment pas difficile de trouver des sites sur le sujet, avec forums, même en français ...
  • Génération de faux sites : les fraudeurs créent au moyen d'outils des sites qui référencent des mots-clefs très spécifiques amenant de nombreux visiteurs, et essayent de les pousser à cliquer sur n'importe quel lien, qui mène toujours à un affiliant... La méthode a en plus l'avantage de faire monter les sites affiliants dans les moteurs de recherche ...

L'exemple de GlavMed pris par Sophos est très intéressant : Glavmed fournit clef en main tout le nécessaire pour déployer un site de type "Canadian Pharmacy" rapidement ... Il ne reste plus qu'à générer du trafic, et par ici la monnaie...

J'en reste là, mais je vous encourage fortement à lire cette étude. Je m'excuse également de vous la signaler aussi tard (elle a été publiée il y a une bonne semaine) mais comme vous le savez je ne blogge que sur mon temps libre, et je n'en ai pas beaucoup en ce moment... D'ailleurs je me suis senti obligé de sacrifier ma pause déjeuner ce midi pour écrire ce petit post, j'espère que vous apprécierez ce geste à sa juste valeur ;-))

Plus sérieusement, cette étude a malheureusement été très peu relayée par les médias français. Il semble que la seule information qui ait été retenue et reprise soit le fait que chaque installation d'un malware sur Mac était rémunérée 0.43 $. Je trouve ça un peu dommage, pour un papier dont la lecture est aussi agréable et intéressante.

Enfin, si le sujet vous intéresse, notamment l'aspect pharmaceutique, je vous encourage si ce n'est déjà fait à lire les travaux de Guillaume Arcas dans MISC. Guillaume, que je salue au passage, a bien creusé le domaine, et apporte des éléments vraiment pertinents. Un must :-)

jeudi 27 août 2009

Etude Trend Micro : A Cybercrime Hub

Trend Micro a publié hier une étude passionnante intitulée "A Cybercrime Hub".

Cette étude nous présente une compagnie estonienne qui sous des apparences légitimes se trouvait être totalement illicite. Cette compagnie, dont le nom est tu par Trend mais qu'il est facile de découvrir en googlant un peu, existe depuis 2005. Ses principales activités sont l'hébergement de contenus web, la distribution de trafic web, et la publicité. Jusqu'en octobre 2008 environ cette compagnie était même agréée par l'ICANN pour enregistrer des noms de domaines Internet.

Les data-center de cette compagnie sont répartis partout dans le monde, sous forme de serveurs achetés ou loués, avec une prédominance aux Etats-Unis. Ainsi, lorsque l'un de ces data-center est fermé, comme ce fut le cas en 2008 à San Francisco (ça ne vous rappelle rien ?) il suffit de basculer ailleurs ... Et de tout remettre en route en quelques heures !

Le quotidien de cette entreprise est en fait entièrement orienté vers la cybercriminalité sous des formes de fraudes diverses et variées. La plupart des jeunes employés de la compagnie, pour la plupart des étudiants ayant une vingtaine d'années et habitant dans la région de Tartu en Estonie, utilisent toutes leurs compétences techniques pour fournir des services frauduleux.

Le document se focalise sur certains aspects techniques déployés par les cybercriminels :

  • Installation et utilisation de serveurs DNS frauduleux (dits "Rogue DNS Servers") depuis 2005. Le principe est simple et efficace. Il s'agit de déployer de multiples serveurs DNS sur Internet, qui présentent tous les aspects d'un serveur DNS légitime, mais dont le comportement est tout autre : chaque requête DNS qu'ils reçoivent renvoient vers des sites frauduleux en lieu et place de sites légitimes.
  • Infection de victimes par un malware de type "DNS Changer". Il s'agit du complément idéal d'un serveur DNS frauduleux : pour que les machines des victimes envoient leurs requêtes DNS vers les serveurs DNS frauduleux, il faut que la configuration de leur machine pointe vers eux. Le malware change la configuration des victimes, qui n'y voient que du pare-feu. Du coup, leurs requêtes DNS légitimes se voient obtenir des réponses telles que souhaitées par les fraudeurs : redirection vers des sites hébergeant d'autres malware, vers des sites de phishing, etc.
  • Détournement des publicités dans les pages web du navigateur de la victime. La plupart des publicités que vous voyez sur Internet lorsque vous naviguez sont en fait hébergées par des tiers. Du coup, les fraudeurs ont pensé à détourner cette caractéristique, de façon transparente pour la victime infectée: alors qu'elle navigue tranquillement sur des sites de confiance, les publicités de ces sites (souvent des "Google ads") sont remplacées par des publicités de sites gérés par les fraudeurs. On pense ici en particulier à la contrefaçon pharmaceutique.
  • Installation de faux anti-virus (dits "Rogue AV") sur la machine de la victime. Les victimes allant vers certains sites contrôlés par les fraudeurs, notamment pornographiques, voient leur accès refusé sous prétexte d'être infectés par un malware. En fait, il s'agit d'un message placé par les fraudeurs eux-même. Le message est suivi d'une proposition de téléchargement d'un logiciel anti-virus. En juillet 2009, environ 100 000 machines se sont connectées sur l'un de ces sites, selon Trend Micro. Bien sûr, l'anti-virus proposé n'est autre... qu'un autre malware. S'il décide en plus de payer la license pour ce prétendu anti-virus, devinez qui récolte l'argent ? Eh oui, ces cybercriminels sont partout...
  • Détournement des requêtes Google des utilisateurs infectés : cette technique donne l'impression à l'utilisateur d'obtenir des résultats Google totalement cohérents, alors qu'en fait ils ont été manipulés par les fraudeurs.

Le papier de Trend Micro nous montre une structure élaborée, avec un intranet particulièrement bien conçu pour être déplacé régulièrement, sans trop entrer dans les détails techniques. La compagnie estonienne dispose de fortes compétences techniques, et sait les déployer et s'en servir de façon efficace. Leur niveau technique est impressionant, mais ce qui m'impressionne surtout, c'est cette capacité à toujours être innovant en termes de cybercriminalité. En seulement 4 ans, cette société a déployé des trésors d'imagination pour générer un maximum de profit.

Les "busts" récents sur un certain nombre d'hébergeurs bulletproof, non pas effectués par les services de Police mais par la communauté de la sécurité informatique et de la cybercriminalité, n'ont finalement eu pour effet sur le long terme que de rendre les cybercriminels plus méfiants, et plus prévoyants : s'attendant à se faire fermer à tout moment, ils sont capable d'apparaitre ailleurs très rapidement. On ne peut que craindre une augmentation de ce type de malveillances, tant que les législations internationales ne seront pas améliorées pour permettre aux forces de l'ordre de migrer ces fraudeurs vers une cellule bulletproof. :-)

mercredi 26 août 2009

Message Labs Intelligence Report - August 2009

Message Labs just published its Intelligence Report for August 2009.

As usual, it is a very interesting paper that I recommend you to read if you're concerned with spam/botnet/malware issues.

This report is especially interesting because it shows us the consequence (in terms of botnet activity) of the takedown of "Real Host", a bulletproof hosting company located in Latvia. This reminds me of something...

The Cutwail botnet for example showed a fall of 90% of its activity in the hours following the takedown.

What we can also notice is an increase of the use of short-urls in spam (mainly by the Donbot botnet).

jeudi 20 août 2009

Infiltration d'un botnet - Cisco

Cisco a publié récemment un document très intéressant intitulé "Infiltrating a Botnet".

Nous y découvrons le travail de l'une des équipes de Cisco, lors d'investigations forensic "classiques" auprès d'un client, dans le but d'en savoir plus sur une compromission du S.I.

L'équipe de Cisco s'est vite rendue compte que de nombreuses machines du client concerné présentaient des symptômes assez alarmants, dont notamment une activité IRC sur un port exotique. Il s'est avéré qu'il s'agissait comme on pouvait le supposer d'un malware, entrant dans un schéma de botnet.

Pour rappel, le protocole IRC (Internet Relay Chat) est l'un des plus vieux protocole utilisé dans le cadre de communications entre des machines compromises (bot) et un serveur (command&control) géré par le ou les fraudeurs. Bien d'autres techniques existent, mais nécessitent plus de travail de la part des pirates. Ce protocole reste largement utilisé pour gérer des botnets "amateurs", les botnets plus professionnels déployant généralement des communications chiffrées.

Après une rapide investigation, de nombreuses machines du client ont été retirées du botnet et "assainies". L'équipe de Cisco s'est alors intéressée directement au fraudeur contrôlant ce botnet. En particulier, ils se posaient des questions sur le niveau de compétence du botmaster : était-il un "script kiddie" ou quelqu'un jouissant d'un bon niveau technique ?

Une seule façon de le savoir pour eux: après avoir surveillé le serveur IRC de contrôle du botnet en se faisant passer pour un bot, les chercheurs ont engagé le dialogue par ce biais avec le pirate. L'échange est assez savoureux. Le pirate en face semble rôdé, croyant que son interlocuteur est un autre botmaster. Du coup, il tient des propos plutôt intéressants. On y apprend que son botnet idle souvent, c'est à dire qu'il est souvent dormant, et que le pirate a récemment vendu quelques milliers de bots (800$ pour 10000 machines). L'activité majeure de ce pirate reste cependant le phishing. Le reste de la discussion tourne autour de l'underground de ce type de cybercriminalité, je vous laisse en prendre connaissance...

Je n'entrerais pas (ou si peu...) dans le troll habituel sur ce genre d'opération... Est-il éthique, pour un chercheur, de se connecter sur un serveur IRC qui est probablement hébergé sur un serveur compromis, pour aller discuter avec un fraudeur ? Les informations qui en sortent sont en tout cas intéressantes.

Enfin, s'il vous venait à l'idée de pratiquer ce genre de chose, je ne saurais que trop vous recommander la prudence : tous les botmasters ne sont pas aussi "zen" que celui présenté dans le document de Cisco. Bon nombre d'entre eux disposent de contre-mesures empêchant les chercheurs de se connecter sur leur serveur IRC, ces contre-mesures lançant généralement une attaque massive de déni de service vers l'adresse IP "suspecte", pour quelques minutes ou quelques heures...

mercredi 17 juin 2009

Réseau Golden Ca$h World

Finjan vient de publier son second "Cybercrime Intelligence Report", qui s'avère très intéressant.

Ce document relativement court nous présente le système de rémunération et le mode de fonctionnement d'un réseau de criminels organisés sous le nom Golden Cash World.

Le but de ce réseau est de faire infecter des machines par un malware de type cheval de troie, pour ensuite les revendre.
A cette fin, ils procèdent de la façon suivante:

  • Des "partenaires" (lire ici: "clients") compromettent des sites web légitimes et modifient leurs pages afin qu'ils propagent du code obfusqué.
  • Lorsqu'une victime accède à un tel site compromis, le code est exécuté et tente d'exploiter une vulnérabilité MS08-041. Si l'attaque réussit, un trojan de la famille "Zalupko" est installé sur le poste de la victime.
  • Golden Cash est notifié de l'infection réussie, et le compte du partenaire est crédité d'une infection supplémentaire. Golden Cash rémunère ainsi ses partenaires en fonction de l'emplacement géographique de l'infection, par tranche de 1000 postes infectés : de 100 $ pour 1000 postes en Australie à 5$ pour 1000 postes dans divers pays d'Asie.
  • Le troyen installé permet notamment à Golden Cash d'enregistrer tous les accès FTP à des sites web, et d'en compromettre d'autant plus, par le biais de ses partenaires.
  • Golden Cash vend ensuite les accès aux machines infectées par tranche de 1000 : 500$ pour 1000 postes en Australie, 200$ pour 1000 postes en France, 20$ pour 1000 postes au Japon... Belle marge !


A noter que Finjan a découvert 100 000 accès FTP différents lors de son étude... Les cybercriminels n'auront pas trop de soucis pour trouver de nouveaux sites à compromettre.

mardi 9 juin 2009

Le gros steak n'est finalement qu'une escalope

Sous ce titre très évocateur, je tenais à bloguer rapidement pour partager avec vous une publication de Microsoft Research qui est à peu près passée inaperçue dans la presse française la semaine dernière.
Ce papier, en anglais, est intitulé "Nobody Sells Gold for the Price of Silver: Dishonesty, Uncertainty and the Underground Economy".

Il s'agit d'une analyse pertinente de l'économie souterraine liée à la cybercriminalité. Attention cependant, sont exclusivement considérés dans l'étude le phishing, le carding, les botnets et autres services "directs" fournis par les fraudeurs, et la monétisation de l'argent obtenu par ces biais. Sont donc exclus tous les autres actes de cybercriminalité tels que le vol d'information à la demande (et Marie Barel nous a montré récemment au SSTIC que le vol d'information n'existe pas), le chantage, etc...

Le but premier de ce document est de rompre avec les idées reçues : non seulement les sommes frauduleuses imputées à cette cybercriminalité sont exagérés par de nombreux professionnels du domaine, mais les estimations fournies par ces derniers alimentent le phénomène à l'inverse. Je cite l'étude : "Ironically, defenders (i.e., whitehats, security vendors and members of the security community) actively and energetically recruit their own opponents. By repeating unverified claims of cybercrime riches, and promoting the idea that easy money is there for the taking, we attract new entrants into the lower tier of the underground economy. While they may produce little profit they still generate large quantities of spam and phishing and cause significant indirect costs."

Une autre des idées reçues dénoncée par les chercheurs de Microsoft est le fait qu'il est facile pour n'importe quel fraudeur de monétiser l'argent issu de ces fraudes. Ce n'est heureusement pas le cas. Ainsi, un bon tiers de l'ensemble de ces fraudeurs ne sont que des escrocs sans aucun talent, qui essayent de se procurer des données intéressantes telles que des dumps de cartes bancaires ou des accès à des comptes bancaires en ligne. En réalité, ils se font escroquer eux-même la plupart du temps par des "rippers", une catégorie d'escrocs qui leur revendent des informations périmées ou tout simplement fausses/créées. C'est particulièrement vrai sur certains réseaux IRC : sur une analyse de 490 numéros de cartes bancaires découvertes rapidement sur IRC, 22% ne satisfaisaient même pas à l'algorithme de Luhn.

Toujours sur IRC, certains bots (des programmes destinés à effectuer certaines actions, à discrétion ou pas des utilisateurs leur envoyant des lignes de commandes) servent à vérifier si les numéros sont bons. Là encore la fourberie est de mise, puisqu'un certain nombre d'entre eux retournent des résultats volontairement éronnés, mais envoient les données soumises à un administrateur qui pourra s'en servir ou les revendre, devenant ainsi un ripper...Et je ne parle même pas de ces kits de phishing disponibles trop facilement, mais qui en fait contiennent du code dissimulé qui enverra toutes les données phishées à l'auteur du kit...

Bref, un bon tiers de ces fraudeurs galère finalement pour pas grand chose, voir pour rien, tandis que le reste, plus méthodique et surtout plus structuré quand on arrive sur le tiers supérieur, monétise effectivement beaucoup plus. Le travail collaboratif, en groupes de criminels structurés, apporte ici tous ses avantages aux fraudeurs. Ces derniers ne sont pas sur IRC, mais communiquent sur des forums spécialisés sur lesquels il faut montrer patte blanche, ce qui ne les empêche pas d'entretenir des rivalités. J'ai encore pu constater ça récemment, un célèbre forum de carders en accusant un autre de n'être qu'une façade de certains services gouvernementaux étrangers...

Un beau travail de Microsoft et une lecture très agréable donc, que je ne saurai que trop vous recommander.

mardi 31 mars 2009

Forum International Cybercriminalité 2009


Je me suis rendu au FIC (Forum International Cybercriminalité) le 24 mars dernier. J'ai posté un compte-rendu de cet évènement sur le blog du CERT Lexsi ici.

Je tiens à saluer et remercier tous mes amis présents à cet évènement, en particulier mes amis belges Serge H, Christophe M, Olivier B, ainsi que David B, Franck V, Marc O (et ses anecdotes savoureuses), Solange B.F., David C, Georges L, Nicolas B, ainsi que toutes les autres personnes présentes avec lesquelles j'ai eu plaisir à discuter. A bientôt au FIC 2010, ou avant à Solutions Linux ! ;-)

jeudi 13 novembre 2008

McColo exposed

Here is the link to an article I just wrote for CERT Lexsi. It's about the fraudulent hosting company McColo, and my own investigations about it.

mardi 7 octobre 2008

Atrivo, botnet, spam ...

On m'a *un peu* reproché de favoriser l'anglais sur ce blog, sachant que j'avais annoncé au départ que la proportion d'articles FR/EN serait à peu près respectée... Est-ce ma faute si je dispose majoritairement de flux RSS en anglais, et que les seules mailing-lists que je trouve intéressantes le sont également ? :-)

Bref, ce post n'est pas là pour blablater sur cet aspect linguistique, mais bien pour faire un peu le point sur le cas Atrivo/Intercage.

Pour rappel, cet hébergeur localisé aux US sur lequel j'ai déjà bloggé ici et hébergeait apparemment 100% de données illicites telles que de la pédopornographie, des consoles d'administration de malware, du phishing, des faux sites, j'en passe et des meilleures...

Suite à l'étude de Jart Armin (lien dans mon premier post sur Atrivo, *flemme*) et au mouvement d'ensemble de la communauté de lutte contre la cybercriminalité, Atrivo se retrouvait sans connexion, après quelques épisodes de changement de peer etc.

Un nouvel article, cette fois-ci d'Ars Technica, apporte de l'eau au moulin. L'article nous indique ainsi que selon Messagelabs, qui est entre autre je le rappelle un *énorme* gestionnaire de trafic e-mail, l'activité globale des botnets s'est vue baisser de façon significative à la fermeture d'Atrivo :

L'impact a été de courte durée, puisqu'Atrivo est revenu online après sa première fermeture du 21 septembre 2008, et que certains de leurs clients ont probablement commencé à migrer rapidement toutes leurs données illicites et leurs command&control vers d'autres hébergeurs bulletproof.

Le spam quant à lui, malgré le fait que d'autres facteurs soient à prendre en compte, a baissé de 8,1% pour septembre 2008.

La fermeture d'Atrivo depuis le 21 septembre a fait couler beaucoup d'encre, et la communauté des professionnels de la sécurité informatique et de la lutte contre la cybercriminalité semble actuellement sur un mode de réflexion un peu plus mature que simplement vouloir fermer de nouveaux hébergeurs bulletproof, et dieu sait qu'il y en a encore un bon paquet. Les réflexions sur une meilleure collaboration avec les services judiciaires font partie intégrante de cette réflexion, de laquelle il émergera peut-être de nouvelles méthodes de lutte contre ce type d'hébergeurs. Time will tell.

mercredi 24 septembre 2008

Cernel Panic

This is just a quick update on my post concerning Atrivo/Intercage.

A lot has been happening during the last few days. Atrivo lost all its upstreams providers, then came back, finding one provider, UnitedLayer, as can be seen on cidr-report. Anyway, while this was happening, some of the malware having its c&c servers hosted by Atrivo suddenly moved to another hosting company, namely CERNEL (.net).

It is interesting to see that Cernel.net has been registered through EstDomains.

Update (2008-09-25) : Cernel.net is unreachable at the moment. The domain is pointing to...an Intercage IP address. Need I say more ? :-)

- page 1 de 2