Un gang de cybercriminels repéré au Nigeria, Trend Micro mène l’enquête

2
100

La société Trend Micro a publié les résultats d’une enquête sur l’activité d’un gang organisé de cybercriminels nigérians spécialisé dans le phishing, la diffusion de messages d’arnaque à la nigériane et la collecte d’informations sur les utilisateurs à l’aide du cheval de Troie ZeuS et d’une de ses variantes connues sous le nom d’Ice IX.

Les experts sont parvenus à identifier trois membres de ce groupe qui sont toujours en liberté et à localiser plusieurs centres de commande des programmes malveillants. D’après les enquêteurs, ce groupuscule de criminalité organisée fait partie d’une organisation beaucoup plus vaste active dans plusieurs pays.

L’enquête menée par Trend Micro a établi que tous les membres de l’organisation vivent au Nigeria, principalement à Lagos. Ils agissent de manière cohérente, même si le groupe pratique le partage des responsabilités, ils n’hésitent pas à s’échanger des informations et des outils. La répartition géographique des cibles est très large et va de l’Inde à l’Allemagne en passant par les Etats-Unis. 

Deux des trois membres identifiés sont responsables de la diffusion de chevaux de Troie bancaires et du fonctionnement des réseaux de zombies construits à l’aide de ceux-ci. Ces “techniciens” s’occupent de l’hébergement Internet, enregistrent et volent des domaines, remplacent les serveurs de commande bloqués et le tout, très efficacement. Tous les domaines Ice IX utilisés sont enregistrés dans la zone co.za (Afrique du Sud) ; le nombre de réseaux de zombies est faible, compris entre une dizaine et deux cents. Il est intéressant de voir que la communication avec les centres de commande s’opère via des ordinateurs locaux infectés qui, dans ce cas, fonctionnent comme des proxy SOCKS. Les responsables des bots estiment que cela suffit pour masquer toutes les traces.

Le troisième habitant du Nigeria qui a été identifié s’occupe de la diffusion des faux messages au nom de l’employé d’une grande banque qui demande l’aide du destinataire pour transférer à l’étranger d’importantes sommes que personne ne réclame. Ces messages visent à amener le destinataire à entamer une correspondance au cours de laquelle, les auteurs de l’escroquerie tenteront, sous les motifs les plus divers, d’extorquer de l’argent et des données personnelles, y compris des informations financières. Les diffusions de messages non sollicités de ce groupe de criminalité organisée sont réalisées par un outil spécial connu sous le nom de PHP mailer et utilisent quelques listes d’adresses. Dans deux d’entre elles, Trend Micro a compté globalement plus d’un million d’adresses américaines et canadiennes

Les experts ont également découvert trois types de pages de phishing créées par le groupe. Une d’entre elles se présente sous les traits du service en ligne Scottrade.com, propriété d’une société privée américaine qui remplit la fonction d’intermédiaire dans le commerce au détail. Les autres fausses pages imitent la page d’ouverture de session dans le moteur de recherche Daum.net très utilisé en Corée ou dans le célèbre site de rencontre Match.com.

 

Source : VirusList

Les commentaires sont fermés.