« Si l’argent est au cœur de toutes les préoccupations, ce n’est pas le cas pour avast ! Nous sommes avant tout une entreprise technologique pour laquelle il était essentiel de prendre le temps nécessaire pour détecter ce nouveau réseau pirate et suivre son évolution pendant plus d’un an », explique Jiri Sejtko, directeur des recherches dans les laboratoires avast !.

« Il existe différentes méthodes qui auraient pu permettre à ce nouveau réseau de se développer. Les quatre méthodes les plus probables sont le piratage grâce à la vente d’espace sur les serveurs infectés, l’utilisation du botnet pour soutenir les activités d’autres pirates, aux virus plus rentables, la vente de lettres de créances volées, ou encore l‘utilisation de keyloggers (ou enregistreurs de frappe) pour étendre d’autres spams. Mais à ce stade, il est plus important de découvrir comment fonctionne ce botnet que de découvrir son business plan. »

Tout commence avec les mots de passe

Kroxxu se concentre exclusivement sur le vol des mots de passe FTP. A la différence de son prédécesseur Gumblar et aux botnet traditionnels, l’expansion de Kroxxu est entièrement basée sur des sites web infectés - et non sur des ordinateurs portables. Les mots de passe volés permettent aux créateurs de Kroxxu d‘ ajouter un script simple au contenu du site original, permettant de télécharger et de modifier des fichiers sur des serveurs infectés et d’étendre le réseau vers d’autres serveurs dans le monde entier. Les laboratoires avast ! estiment ainsi que le « zombie » Kroxxu inclue plus de 10 000 redirecteurs, 2 500 redirecteurs PHP et 700 logiciels malveillants supplémentaires dans le monde, connectés aléatoirement et contrôlésà distance dans des lieux cachés.

La redirection est un élément essentiel pour Kroxxu puisqu’elle lui permet de se cacher. La plus longue connexion active trouvée jusqu’ici a utilisé au total 15 redirecteurs, sans troubler la méfiance de l’internaute, à travers sept pays et sur trois continents différents. Cela pourrait être aussi bien une caractéristique destinée à masquer la répartition et la diffusion des malwares qu’une courte panne dans le processus d’infection automatisé.

La capacité des composants du botnet à modifier sans cesse leur rôle, est une spécifité propre à Kroxxu. Les lettres de créance volées sont quant à elles utilisées pour soutenir le développement du réseau avec de nouveaux domaines infectés ajoutés à un réseau multi-couches où chaque élément exécute des tâches bien spécifiques. « Les attaques de Kroxxu sont basées sur le fait que toutes les parties du réseau sont égales et interchangeables. Si une partie est utilisée comme redirecteur initial, elle peut également l‘être pour la distribution finale au même ou à un autre moment », explique Jiri Sejtko. « Cela lui permet de se duppliquer beaucoup plus facilement et rapidement. »

Kroxxu : des virus dont il est difficile de se débarasser

La croissance de Kroxxu a été régulière avec 1 000 nouveaux domaines employés improprement chaque mois depuis son émergence en octobre 2009. Elle se caractérise par la longévité des infections et la difficulté à les éliminer d‘un serveur. Les laboratoires avast ! ont ainsi constaté que 985 redirecteurs PHP et 336 distributeurs de logiciels malveillants installés dans les sites infectés ont survécu plus de trois mois sans attirer l‘attention de la part des administrateurs des sites en question. Il semble que la plupart d’entre eux ignorent ou plus vraisemblablement, ne soient pas au courant de l’infection. Or seul l’administrateur ou le propriétaire du site piraté peut légalement se débarrasser de l’infection.

La distinction entre les sites malveillants de base et les sites piratés redistribuant des virus

A moyen terme, la présence de Kroxxu sur des serveurs infectés pourrait avoir un impact sur les URL des moteurs de recherche qui doivent faire la différence entre de purs virus informatiques et des logiciels malveillants provenant de réseaux zombies. Avast ! par exemple, utilise ces URL pour empêcher ses utilisateurs d‘accéder aux 100 000 domaines infectés par Kroxxu. Le succès relatif de Kroxxu et son utilisation exclusive de serveurs détournés, augmente le risque d’imitation d’autres botnets. Un problème mettant en évidence la façon dont les autorités déterminent les statuts d’un site. La confusion qui existe aujourd’hui entre les virus informatiques de base et les virus provenant de réseaux zombies pourrait décupler l’impact de Kroxxu au delà de l’estimation d’un million d’utilisateurs et de 100 000 domaines désormais infectés.

Les chiffres Kroxxu

Réseau avec plus de 10 000 redirecteurs, 2 500 redirecteurs PHP et 700 sites supplémentaires de distribution de logiciels malveillants,

Les 15 redirecteurs utilisés en terme de connexion active la plus longue, renvoient les internautes à travers sept pays dans trois continents différents,

La durée de vie des serveurs infectés par Kroxxu est de 90 jours.

Kroxxu dans les faits

Expansion soutenue pendant plus d’un an,

Une monétisation cybercriminelle toujours dissimulée,

Un réseau pirate basé uniquement sur des serveurs qui distribue des virus informatiques incluant des keyloggers,

Des composants interchangeables pour une plus grande flexibilité,

Un réseau pirate qui ne peut être enrayé que par des administrateurs système et qui bouleverse l’ensemble des critères juridiques propres aux URL.