Cedric PERNET - Threat Intel, APT & Cybercrime

Je n'aime pas trop certains termes français relatifs à la cybercriminalité. Parmi eux, le "hameçonnage". Je me permettrais donc de parler de "phishing", les puristes de la langue française m'excuseront.

Je ne vais pas revenir en détails sur ce qu'est le phishing. Le principe est simple : des cybercriminels créent des fausses pages web imitant une cible particulière (banque, fournisseur d'accès Internet, etc.) et envoient des milliers d' e-mails au petit bonheur la chance en se faisant passer pour la cible. Prenons l'exemple d'une banque : les fraudeurs se font passer pour la banque, et sous un prétexte quelconque (souvent une mise à jour de sécurité) ils demandent à l'internaute de cliquer sur le lien "qui rétablira tout". Un internaute crédule ira donc se connecter sur la page, qui est une fausse page imitant sa banque, et entrera ses identifiants et mots de passe bancaires... Il ne reste plus pour les fraudeurs qu'à se connecter à la place de l'internaute, sur sa véritable banque, et à profiter du compte bancaire.

Seulement, il y a un petit hic : ces fraudeurs sont localisés ailleurs dans le monde, en Ukraine ou en Roumanie par exemple. Sachant que la plupart des banques françaises n'autorisent pas de virements bancaires directs vers l'étranger, les pirates ont dû trouver une parade. Ils ont contourné le problème en lançant des campagnes de recrutement de "mules". L'idée était de créer de fausses entreprises (souvent avec site web) qui sous prétexte de travailler dans le secteur financier mais pas dans votre pays vous proposent de travailler pour eux de chez vous. Le principe et les slogans sont accrocheurs, du style: "gagnez jusqu'à 5000 Euros par mois, en travaillant de chez vous, moins de 3 heures par semaine."

En fait, les fraudeurs allaient se connecter sur les comptes des victimes "phishées", et effectuaient des virements bancaires vers les mules. Ces mules devaient ensuite renvoyer la somme amputée de 3 à 10% vers une adresse étrangère (Ukraine pour l'exemple). Ce transfert d'argent était effectué par des sociétés telles que Western Union, etc.

La mule garde donc un faible pourcentage de l'argent volé aux victimes. Jusqu'à son interpellation et sa garde à vue en tout cas, ce qui arrive invariablement et plutôt rapidement... A peine le temps d'acheter un chat et déjà en garde à vue... (private joke) ;-)

Les mules sont recrutées au hasard mais également de façon plus ciblée, sur des sites de recherches d'emplois etc. (Voir ici pour un bon article sur le sujet.)

Quoi qu'il en soit, j'examinais une campagne de recrutement de mules par mail il y a quelques jours, lorsque j'ai vu une nouveauté pour le moins intéressante dans les e-mails des fraudeurs : (les xxx et les mentions entre parenthèses sont une anonymisation effectué par mes soins)

---

Dear xxx

This is (fake name) from (fake company). I was assigned your Regional Instructor and from now on you’ll be working under my supervision. I’ll be providing you with all necessary information and submitting tasks to complete. I do hope we’ll enjoy working together.

I wish to begin this letter by saying thanks to you for applying for the job of the(fake company). We appreciate the opportunity to meet you and learn more about your interests.

In order to join our team as soon as possible, you have to confirm your intention to work with us by filling in and sending us the contract and the application form (please see it enclosed).

The procedure is as follows:

1. Please register at this link to receive a personal account in our online system: http://xxx

2. Read our FAQ: http://xxx

3. Download our secure transaction certificate: http://xxx.exe

4. Download the contract at this link http://xxx

Please read it carefully, fill in the required fields, sign it and send it scanned back (with your photo attached) to our corporate e-mail: (e-mail address for the fake company)

You can also fax your application Our fax number is xxx

You will become our official employee and receive your first assignment as soon as this is done.

Note: Please read and fill in all the forms very carefully to eliminate possible malfunction of your account. After the registration you will be put in the waiting list for activation of your account, which is necessary to start the job. The approximate time is about 1-2 days, so just wait for a response, please.

You will enjoy the comfort of working with us. We take the responsibility to send you information about the transfers to your account, payment processing details and other details very promptly to assist and to facilitate your job.

My job is to assist you in managing payments and I'll be happy to do the utmost to help you whenever possible.

---

Notez le point 3 que j'ai mis en gras : on demande à la mule de télécharger et d'exécuter un fichier exécutable. Ma tête se transforme en carillon lorsque je lis ce genre de chose, remplie de sonneries d'alarmes : ATTENTION, DANGER, il s'agit probablement d'un malware.

Un téléchargement plus tard et une analyse rapide plus loin, force est de constater qu'effectivement, il s'agit d'un code malveillant. Son but ? Empêcher la mule de découvrir sur Internet que cette offre d'emploi est "bidon".

La seule fonction de cet exécutable est de changer le fichier "HOSTS" de la mule. En simplifiant un maximum, sous un système Windows, ce fichier permet de rediriger les navigations de l'ordinateur.

Les lignes suivantes sont ajoutées au fichier HOSTS :

127.0.0.1 google.com
127.0.0.1 google.co.uk
127.0.0.1 www.google.com
127.0.0.1 www.google.co.uk
127.0.0.1 suckerswanted.blogspot.com
127.0.0.1 ideceive.blogspot.com
127.0.0.1 www.bobbear.co.uk
127.0.0.1 bobbear.co.uk
127.0.0.1 reed.co.uk
127.0.0.1 seek.com.au
127.0.0.1 scam.com
127.0.0.1 scambusters.org
127.0.0.1 www.guardian.co.uk
127.0.0.1 ddanchev.blogspot.com
127.0.0.1 aic.gov.au
127.0.0.1 google.com.au
127.0.0.1 www.reed.co.uk

Le résultat de cette modification ? Toutes les navigations de l'utilisateur vers les sites listés ne fonctionneront plus. (oui oui je sais je simplifie à outrance, c'est de la vulgarisation et pas un doc technique ;-) )

La plupart de ces sites sont des sites soit de recherches (google) soit des références mondiales de lutte contre le phishing/recrutement de mules (reed.co.uk et bobbear.co.uk en particulier)

Ainsi, si la mule essaye de se renseigner sur les échanges avec les fraudeurs et la campagne de recrutement en allant consulter ces sites, elle ne pourra pas obtenir d'information. D'où le titre de cet article...

Cette méthode est intéressante et nous montre que les cybercriminels continuent de déployer des trésors d'ingéniosité pour maximiser les gains de leurs arnaques et rentabiliser le temps passé à les mettre en place. Bien que la plupart des solutions anti-virales détectent ce code malveillant, le problème en matière de phishing reste esentiellement humain, et la sensibilisation reste une clef de voûte dans la lutte contre ce type d'escroqueries.