Trois des serveurs de commande et de contrôle du logiciel malveillant ont été mis hors ligne, ce qui entrave son réseau fraude au clic.
Des chercheurs de la firme canadienne de sécurité SecDev ont permis la désactivation de trois des serveurs de commande et de contrôle – serveurs-mères – responsable du botnet Koobface.
L’intervention intervient à la suite d’un rapport, publié vendredi par Nart Villeneuve, directeur de la recherche pour SecDev, qui décrit en détail le fonctionnement interne de Koobface. La plupart des informations ont été recueillies après que Villeneuve ait infiltré un des serveurs de communication de l’information financière liés au botnet par SMS via un numéro de téléphone à quatre chiffres en Russie.
De toute évidence, la recherche de Villeneuve n’était pas seulement académique. Selon les bulletins de nouvelles, les chercheurs de SecDev ont travaillé avec le fournisseur de services Internet Coreix au Royaume-Uni au cours du week-end pour désactiver trois serveurs de commande et de contrôle Koobface.
Koobface utilise les réseaux sociaux pour envoyer des liens malveillants, en apparence d’une personne que le destinataire connait. “Ces liens redirigent les utilisateurs vers de fausses pages YouTube afin d’encourager les internautes à télécharger des logiciels malveillants se faisant passer pour un codec vidéo ou une mise à jour de logiciel», a déclaré Villeneuve.
Ce qui se passe ensuite ressemble beaucoup à un programme d’affiliation publicitaire, à l’exception d’un volet pénal. Basé sur la recherche de Villeneuve, il a constaté que «grâce à l’utilisation de pay-per-click et pay-per-installe, les programmes d’affiliation, Koobface a été en mesure de gagner plus de 2 millions de dollars entre Juin 2009 et Juin 2010 en forcant les ordinateurs compromis à installer des logiciels malveillants et de s’engager dans la fraude aux clics. ” La fraude au clic est la pratique consistant à forcer les ordinateurs automatiquement à “cliquez” sur les liens publicitaires pour gonfler les revenus de filiales au service des petites annonces.
Comme il sied à un modèle de «pay per click”, les opérateurs de Koobface se doivent de porter une attention particulière à la situation du malware. “Les opérateurs de Koobface emploient des contre-mesures techniques afin de s’assurer que les opérations du botnet restent sans perturbation», a déclaré Villeneuve. “Les opérateurs surveillent régulièrement leurs liens malveillants afin de s’assurer qu’ils n’ont pas été marqués comme malveillants.” Ils participent également activement à bloquer certaines adresses IP – par exemple, appartenant à des chercheurs en sécurité ou à des entreprises d’antivirus – d’accéder à des serveurs de commande et de contrôle.
Villeneueve dit qu’il a publié ses conclusions sur Koobface de façon à aider les organismes législatifs dans leur quête des botnets. «Une bonne compréhension du fonctionnement interne des réseaux cybercriminels permet de suivre des pistes et aux communautés de sécurité d élaborer de meilleures défenses contre les attaques de logiciels malveillants.”
Mais l’élimination de trois serveurs mères de Koobface a t-elle une réelle utilité ? Récemment, le botnet Bredolab a subit la même chose et a semblé ralentir, mais cela ne l’a pas éradiqué,il est toujours présent dans les réseaux de zombies…