Phone-by Download ?

By Cedric Pernet on 2010-02-16, 13:36 - Cybercrime - Permalink

Depuis quelques années, la technique du "drive-by download" s'est développée de façon spectaculaire, permettant à des cybercriminels d'infecter des ordinateurs de façon totalement transparente. Ces ordinateurs sont souvent délaissés au niveau de leur sécurité : les patchs de sécurité ne sont pas appliqués, il n'y a pas d'anti-virus, pas de firewall ... Des machines comme ça, nous en avons tout autour de nous, et elles ne mettent jamais longtemps à se faire infecter par des malware divers et variés, malheureusement.

Le "drive-by" download désigne en fait toute méthode qui permet de faire télécharger et exécuter à l'insu de l'utilisateur un contenu (la plupart du temps) malicieux. La méthode la plus judicieuse dans ce cadre reste d'infecter un site "légitime" et d'y placer son malware. Mettre en place un drive-by download de ce type est simple pour un pirate : il compromet d'abord un site, si possible à forte visibilité, qui garantira une forte propagation de son contenu malicieux. Puis il y place des liens, des redirections, ou directement une exploitation d'une ou plusieurs vulnérabilités.

L'ancien adage du "tu ne surferas point sur des sites immoraux, de peur d'attraper un virus" n'est plus vrai : on peut se faire infecter en naviguant sur des sites parfaitement respectables. Les exemples sont nombreux : CNN, Yahoo etc... Le premier cas de drive-by dowload sérieux dont je me souvienne est celui du stade des Dolphins de Miami, juste avant une finale de Superbowl, en 2007 : les pirates avaient réussi à compromettre le site principal de l'évènement et propageaient une variante d'Haxdoor, un malware de type cheval de Troie bien connu pour dérober notamment les accès de comptes bancaires... Un exemple précis ici, si vous voulez creuser un peu le sujet. En fait, le manque de sécurité des administrateurs de certains serveurs web joue en faveur des pirates tout autant que le manque de sécurité des postes utilisateurs. Il existe des centaines de milliers de sites légitimes compromis dans le seul but de propager du malware...

Les buts poursuivis sont variés : infections des ordinateurs par des chevaux de Troie qui vont "voler" les identifiants et mots de passe bancaires des utilisateurs, propagation de spam, collecte de données sensibles, etc.

Depuis peu, certains cybercriminels ont décidé de propager leur contenu d'une façon moins conventionnelle : ils procèdent par "phone-by download". (Je n'ai pas inventé le terme...)

En effet, j'ai eu vent d'attaques pour le moins originales ciblant des utilisateurs :

  1. Le pirate téléphone à sa victime.
  2. Le pirate se fait passer pour un centre d'appel d'un opérateur, d'une banque, d'un prestataire quelconque, tous les scénarios sont envisageables.
  3. Le pirate utilise un prétexte quelconque, souvent une mise à jour de sécurité, pour prévenir la victime de l'imminence d'un problème : "Attention, suite à (broder ici), vous devez mettre votre ordinateur à jour, sinon (décrire ici une catastrophe du style perte totale de vos images de vacances). Si le pirate est malin, il a posé quelques questions préalables qui lui permettent de connaitre le degré de crédulité de son interlocuteur.
  4. Le pirate propose alors la solution miracle : "rendez-vous sur le site xxxxxxxxxxxx.com, quand il vous demande de cliquer OK faites-le, et tout rentrera dans l'ordre."
  5. Je vous laisse imaginer ce que la victime crédule va faire... Et se retrouver infectée par un malware qu'elle aura accepté.

Cette méthode présente un inconvénient majeur pour le pirate : elle ne permet pas d'infecter beaucoup de machines. Cependant, dans le cas d'une attaque ciblée, dans laquelle le pirate vise une personne en particulier (généralement pour du vol d'informations sensibles), ce n'est pas un problème. D'autant plus que les utilisateurs commencent à se méfier des spam, mais se méfient beaucoup moins d'un contact "réel" avec un autre être humain.

Finalement, cette nouvelle attaque se contente d'utiliser les bonnes vieilles méthodes de social engineering des années 80 en mêlant usurpation d'identité et crédulité de certains utilisateurs. Efficace.

Comments

1. On 2010-02-16, 19:01 by RV

Bonne synthèse de cette méthode d'attaque.

Il existe également une variante ou, toujours via le téléphone et avec la même intention, le pirate adresse des SMS à ses victimes potentielles en mentionnant d’aller télécharger sur un site le composant malicieux.
Par rapport à la méthode précédente, il peut cibler un plus grand nombre de victimes en un minimum de temps et n’est pas censé parler la même langue que ses victimes (hormis pour être crédible, le contenu du SMS).

A+
RV

2. On 2010-03-05, 10:16 by PasNouveau

Article didactif... mais rien de nouveau sous le soleil :)

Je faisais ça déjà il y a 6-7 ans... et d'autres bien plus connus l'ont fait depuis bien plus longtemps encore (Mitnick...).

Amicalement

3. On 2010-03-05, 19:22 by Cédric Pernet

@PasNouveau: pas d'accord pour Mitnick : il était un génie du social engineering tout support, ok, et il obtenait tout ce qu'il voulait par téléphone...Mais à ma connaissance il n'a jamais utilisé ce moyen pour faire downloader du malware... Il utilisait + le tél pour se procurer directement des moyens d'accéder à des réseaux...

4. On 2010-11-13, 16:44 by marad

je ne saisi pas bien ce que vous appélez "phone-by download", je pense que les opérateurs téléphoniques ne sont pas aussi vulnérables que vous le pensiez,sinon, cette forme d'attaque aurait été plus que celle de l'attaque d'un systeme équipé d'un SSL.