Un nouveau botnet a été détecté. Il aurait potentiellement touché plus d’un million d’internautes au cours des 12 derniers mois.
“Le botnet Kroxxu a actuellement a une emprise sur environ 100.000 domaines Web et s’est propagé de manière extrêmement efficace”, déclare avast! Virus Lab.
La nature clandestine du botnet à fait que les chercheurs ont été incapables de déterminer la façon dont les cerveaux ont monétisé l’opération. “Il ya un certain nombre de façons dont ils peuvent être eux-mêmes l’appui», a déclaré Jiri Sejtko, directeur de la recherche de virus chez avast! Virus Lab.
“Les quatre méthodes les plus probables sont le contrôle d’espaces sur des serveurs infectés, l’utilisation de ce malware pour soutenir les activités d’autres crimewares, des logiciels malveillants plus rentables, la vente de données volées, ou encore en utilisant les enregistreurs de frappe (keyloggers) ou à la diffusion de pourriel d’autres.”
Kroxxu diffère des botnets traditionnels. Son expansion a été réalisée uniquement par le biais des sites Web infectés. Ses propriétaires ont pris le contrôle de sites Web, avant de réaliser des modifications de code afin de faire télécharger le malware aux internaute visitant l’un des serveurs infectés, a expliqué avast!.
Les opérateurs poursuivent alors la propagation du réseau de zombies à d’autres serveurs à travers le monde.
Kroxxu a utilisé des redirections afin de rendre difficile le suivi des activités de son réseau de zombies. La compagnie de sécurité a estimé que plus de 10.000 redirections avaient été employées par Kroxxu cours de l’année dernière.
Le réseau malveillant a également utilisé des éléments modifiables : chaque couche du réseau de zombies effectue une tâche spécifique, ce qui lui donne une plus grande flexibilité.
“Kroxxu possède des parties interchangeables”, a expliqué Sejtko. “Si une partie est utilisée comme un redirecteur initialement, il peut également être utilisé comme une partie de distribution finale au même niveau ou même à un autre moment. Cela lui donne une vaste gamme de possibilité en matière de duplicité. “
Kroxxu pourrait s’étendre et gagner du terrain beaucoup plus vite, a déclaré avast!. Le blocage d’URL des moteurs peut avoir du mal à différencier les domaines gérés par les auteurs de logiciels malveillants et les domaines zombies piratés comme celles qui sont contrôlées par Kroxxu, a expliqué la firme de sécurité.
Il y a eu un certain nombre de succès lors de la mise à terre de plusieurs botnets cette année, ce qui a conduit à une baisse de spam.