Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

BitDefender : De nombreux posts de keyloggers se sont accumulés sur Pastebin.com faisant craindre des attaques massives de keyloggers

juin 2010 par Bitdefender

Comme si le nombre d’entrées postées par les keyloggers (programme agissant à l’insu de l’utilisateur et enregistrant toutes les frappes de clavier) sur Pastebin n’était pas suffisant, leur contenu a également de quoi inquiéter : au lieu du code open-source attendu, on y trouve des mots de passe Facebook ou de Messagerie Instantanée, ainsi que des informations détaillées sur l’historique de navigation des utilisateurs peu méfiants.

La quantité de données exposées est suffisante pour éliminer l’hypothèse d’une mise en ligne manuelle. Une observation plus attentive révèle qu’il s’agit d’une infection massive de keyloggers.

Pourquoi utiliser Pastebin.com comme référentiel de logs ?

En général, les keyloggers ont recours à des approches de transfert classiques et envoient les paquets de données via des e-mail ou FTP, ce qui augmente considérablement les risques que les autorités découvrent l’identité de l’attaquant.

De plus, l’approche par e-mail est extrêmement peu discrète : il est facile pour un administrateur système de détecter le trafic, sans parler du fait que les logiciels antimalwares informent généralement les utilisateurs qu’un e-mail quitte leur système. D’autres fois, les ports de messagerie (en général les ports 25, 465 et 578) sont sécurisés ou bloqués, ce qui empêche la transmission des données du keylogger.

C’est pourquoi ce keylogger emploie des tactiques « personnalisées » telles que le dépôt des données sur un emplacement web. Disons que Pastebin évite d’être bloqué par un pare-feu, de laisser des traces, n’indique pas l’adresse IP d’origine et permet donc de protéger l’identité de l’attaquant.

Pastebin est une énorme plateforme collaborative hébergeant des millions de lignes de code publiées au format texte. Contrairement aux forums ou aux réseaux sociaux, le texte publié ne sera probablement pas vu par d’autres utilisateurs, à moins qu’ils ne le recherchent. Mais en faisant une recherche ciblée, l’attaquant obtiendra assurément les logs pertinents dans la fenêtre du navigateur.

Ainsi, les victimes se font voler leurs identifiants et mots de passe via le keylogger, mais les données recueillies sont également accessibles à d’autres internautes. Et pour couronner le tout, tout ce qui a été posté reste accessible pour toujours, même si les pages en question sont supprimées (c’est l’inconvénient de la mise en cache des données), de sorte que des personnes mal intentionnées peuvent récupérer ces informations à tout moment, et les utiliser de nouveau.

L’observation des forums « underground » utilisés par les créateurs de malwares révèle une grande quantité de code source pouvant être intégré dans ces nouveaux types de keyloggers. Cela rend cette situation bien plus inquiétante qu’une mini-épidémie provoquée par l’apparition d’un seul malware et marque le début d’une nouvelle vague d’exploitation de services publics et réputés, comme cela s’est produit avec les botnets contrôlés sur Twitter.




Voir les articles précédents

    

Voir les articles suivants