Cedric PERNET - Threat Intel, APT & Cybercrime

Finjan vient de publier son second "Cybercrime Intelligence Report", qui s'avère très intéressant.

Ce document relativement court nous présente le système de rémunération et le mode de fonctionnement d'un réseau de criminels organisés sous le nom Golden Cash World.

Le but de ce réseau est de faire infecter des machines par un malware de type cheval de troie, pour ensuite les revendre.
A cette fin, ils procèdent de la façon suivante:

• Des "partenaires" (lire ici: "clients") compromettent des sites web légitimes et modifient leurs pages afin qu'ils propagent du code obfusqué.
  

• Lorsqu'une victime accède à un tel site compromis, le code est exécuté et tente d'exploiter une vulnérabilité MS08-041. Si l'attaque réussit, un trojan de la famille "Zalupko" est installé sur le poste de la victime.
  

• Golden Cash est notifié de l'infection réussie, et le compte du partenaire est crédité d'une infection supplémentaire. Golden Cash rémunère ainsi ses partenaires en fonction de l'emplacement géographique de l'infection, par tranche de 1000 postes infectés : de 100 $ pour 1000 postes en Australie à 5$ pour 1000 postes dans divers pays d'Asie.
  

• Le troyen installé permet notamment à Golden Cash d'enregistrer tous les accès FTP à des sites web, et d'en compromettre d'autant plus, par le biais de ses partenaires.
  

• Golden Cash vend ensuite les accès aux machines infectées par tranche de 1000 : 500$ pour 1000 postes en Australie, 200$ pour 1000 postes en France, 20$ pour 1000 postes au Japon... Belle marge !

A noter que Finjan a découvert 100 000 accès FTP différents lors de son étude... Les cybercriminels n'auront pas trop de soucis pour trouver de nouveaux sites à compromettre.