Le 09 septembre 2013

Au mois d’août, les chercheurs de Doctor Web ont analysé plusieurs nouveaux malwares. Ils ont notamment découvert un programme malveillant qui compromet les sites web via des outils de CMS connus. De même, un trojan espion représentant un risque significatif pour Linux a été analysé.

Virus

D’après les données collectées par l’utilitaire Dr.Web CureIt!, le Trojan.loadmoney.1 arrive en tête des menaces identifiées. Trojan.Hosts.6815, qui modifie le fichier hosts contenant les adresses IP des serveurs DNS, arrive en seconde position. Le bot-IRC BackDoor.IRC.Cirilico.119 arrive en troisième position, suivi de près par le Trojan.BtcMine.142, le programme malveillant qui utilise les ressources des ordinateurs infectés pour récolter des bitcoins. Le tableau ci-après présente les 20 menaces les plus répandues sur les PC en août 2013.

Botnets

Le botnet Win32.Rmnet.12 continue à grossir. Le premier sous-réseau enrôle environ 12 000 nouveaux PCs chaque jour, tandis que le second s’accroît de 10 500 nouveaux hosts par jour. La progression du botnet est illustrée dans le graphique ci-dessous.

Croissance du botnet Win32.Rmnet.12 au mois d’août 2013 (1er sous-réseau)

Croissance du botnet Win32.Rmnet.12 au mois d’août 2013 (2e sous-réseau)

Le botnet enrôlant des machines contaminées par l’infecteur de fichiers Win32.Rmnet.16 continue également à croître avec environ 1500 nouveaux PC enrôlés par jour. Le diagramme ci-après montre l’évolution du botnet.

Croissance du botnet Win32.Rmnet.16 en août 2013

Les statistiques concernant le module malveillant détecté par Dr.Web comme Trojan.Rmnet.19 montrent également une légère croissance : 685 infections ont été relevées au mois d’août mais le nombre total de bots n’a pas beaucoup évolué : ils étaient 5014 au 28 août 2013.

La croissance du botnet BackDoor.Bulknet.739 a quant à elle été à peu près constante. Comparé au mois de juillet 2013, le nombre moyen quotidien de bots actifs est resté quasiment inchangé et atteignait 2500 au mois d’août, tandis que le nombre moyen de nouveaux bots par 24h se situait entre 500 et 600 ordinateurs. La croissance du botnet est illustrée par le graphique ci-dessous.

Croissance du botnet BackDoor.Bulknet.739 au mois d’août 2013

Le nombre de Mac infectés par le BackDoor.Flashback.39 est également resté inchangé : à la fin du mois d’août, on en comptait 38 822. La plupart des machines infectées se trouvent aux Etats-Unis, (20 020) ; le Canada arrive en seconde place (7 102) et le Royaume-Uni en troisième position avec 5 200 machines infectées. Ils sont suivis par l’Australie, avec 3 571 ordinateurs compromis, la France (313), le Mexique (236), l’Espagne (218), l’Italie (148), l’Allemagne (146) et le Brésil (129). Un seul incident lié au BackDoor.Flashback.39 a été relevé en Russie. La carte ci-dessous illustre la répartition géographique du botnet dans le monde.

Menace du mois : Linux.Hanthie

Il y a un an, avant la vague provoquée par le Backdoor.Flashback.39, les utilisateurs de Mac pensaient que l’OS était totalement sûr. De même aujourd’hui, la tendance est à penser qu’il n’existe pas de menaces ciblant Linux. Pourtant, au mois d’août, Doctor Web a analysé le trojan Linux.Hanthie.

Linux.Hanthie, également appelé Hand of Thief, est un bot de type FormGrabber et une BackDoor Linux. Il dispose de technologies anti détection, peut se lancer de manière masquée, ne requiert pas de privilèges administrateur et utilise un chiffrement fort (256-bit) pour la communication avec l’interface de commande. De nombreux paramètres permettent une configuration flexible du bot.

Après son lancement, le Trojan bloque l'accès aux adresses depuis lesquelles les mises à jour logicielles ou les logiciels antivirus sont téléchargés. Ce Trojan est capable de se soustraire à l'analyse antivirus et de s'exécuter dans des environnements isolés et virtuels.

Cette version de Linux.Hanthie ne possède pas de mécanismes d’auto réplication, c'est pourquoi ses développeurs conseillent de le distribuer en utilisant les moyens de l'ingénierie sociale. Ce Trojan est compatible avec les distributions Linux (dont Ubuntu, Fedora et Debian) et avec huit types d'environnements de bureau, par exemple, GNOME et KDE.

L’objectif principal de Linux.Hanthie est d’intercepter les données renseignées par les internautes dans des formulaires web et de les transmettre aux criminels. Il peut injecter le grabber dans les navigateurs Mozilla Firefox, Google Chrome, Opera, Chromium et Ice Weasel. Il peut également remplir le rôle de backdoor ; le trafic est crypté durant la communication avec le serveur C&C. Pour en savoir plus sur cette menace, lisez l’article paru sur le site de Doctor Web.

Autres événements viraux du mois

La sécurité bancaire a également été à l’ordre du jour au mois d’août. Le 19 août, Brian Krebs, un expert reconnu en sécurité informatique, a publié un article sur son blog concernant des attaques ciblant les clients des banques via leurs téléphones Android ou leurs PC. Les Trojans développés grâce au kit Perkele peuvent passer outre l’authentification multi-facteurs utilisée par de nombreuses banques. En Allemagne, de nombreux clients ont été victimes d’une fraude entraînant l’installation d’un malware reçu sous couvert d’un certificat de sécurité bancaire. Le schéma ci-dessous détaille le fonctionnement de la fraude.

Lorsqu’une victime visite le site de sa banque (flèche 1 sur le schéma), un Trojan (Zeus, Citadel ou un autre) injecte du code dans le navigateur (flèche 2) qui incite l’utilisateur à renseigner son numéro de téléphone et son OS mobile (image 9). Ces informations sont envoyées au serveur pirate (flèche 3) qui envoie une requête au navigateur de la victime (flèche 4), l’invitant à lire le code QR (type de code-barres) pour installer officiellement un module de sécurité supplémentaire, qui est en réalité un malware. Lorsque l’utilisateur lit le code QR, le malware est téléchargé et installé sur le mobile et permet aux malfaiteurs d’intercepter les SMS entrants. Le malware peut alors initier automatiquement des transactions financières qui impliquent le compte de l’utilisateur (flèche 5). Lorsque la banque envoie un SMS avec un code à utilisation unique (flèche 6), le trojan l’intercepte et l’envoie au serveur pirate (flèche 7), le script malveillant lit le code (flèche 8) et finalise la transaction.

En parallèle de la fraude bancaire, les pirates apprécient particulièrement les fraudes impliquant des « produits » virtuels comme les « Like » sur les réseaux sociaux. Certains utilisateurs sont prêts à payer en monnaie sonnante et trébuchante pour ces faux témoignages, notamment certaines entreprises qui souhaitent mettre en avant leurs produits. Plus il y a de « Like », plus le produit gagne en notoriété. Les pirates vendent également des faux comptes Twitter ou Instagram qui sont créés en utilisant une version peu connue du malware Trojan.PWS.Panda. Dr.Web détecte cette menace sous le nom Trojan.PWS.Panda.106.

Au mois d’août, les analystes ont découvert une nouvelle version de BackDoor.Maxplus, qui opère comme un keylogger et connecte l’ordinateur infecté à un réseau peer-to-peer mis en place par des criminels. Afin de se soustraire à la détection par les antivirus, le trojan utilise des moyens originaux pour se dissimuler. Lorsqu’il est lancé sur un appareil infecté, il s’auto duplique dans deux répertoires sans respecter l’ordre alphabétique. Les noms des fichiers exécutables de BackDoor.Maxplus sont écrits de droite à gauche dans le registre, de la même façon que les textes écrits dans les langues sémitiques (arabe, hébreux etc). La signature du malware a été ajoutée aux bases virales Dr.Web.

Enfin, le mois d’août a vu la découverte du malware Trojan.WPCracker.1, conçu pour compromettre les sites gérés par des outils de CMS connus.

Menaces ciblant les mobiles

Le dernier mois de l’été a été relativement calme quant aux menaces ciblant les mobiles. Néanmoins, les bases virales ont été enrichies de signatures de Chevaux de Troie de la famille Android.SMsSend, qui envoient des messages sur des numéros courts pour abonner l’utilisateur à des services payants. Plusieurs spyware ont été détectés, notamment certains programmes pour jailbreaker les appareils mobiles. Ces programmes sont dangereux car lorsqu’ils sont conçus par des hackers, ils peuvent secrètement surveiller l’activité de l’utilisateur : intercepter des SMS, obtenir des données sur les appels, suivre les données GPS, et transférer des données à un serveur distant. Vous pouvez consulter à ce propos un article paru sur le site de Doctor Web.

Fichiers malveillants détectés dans le trafic email en août

Fichiers malveillants détectés sur les ordinateurs des utilisateurs en août