Discussion :

[Stéphane le calme]

Comment créer votre logiciel malveillant en trois étapes ?
Tox permet aux cybercriminels de suivre en temps réel les campagnes de piratage

Dans les réseaux criminels, il est aisé de se procurer un kit de construction de malware qui permet de mettre sur pied du code malveillant partant de certains modèles ou même d’applications légitimes dans certains cas. Durant leurs recherches, les experts de McAfee ont identifié un nouveau venu dans cette famille ; un éditeur de ransomware relativement simple d’utilisation qui devient de plus en plus populaire dans l’écosystème criminel et intéresse les escrocs en tout genre.

Baptisé Tox, l’éditeur de ransomware est disponible en ligne depuis le 19 mai sur le réseau en oignon. Sur la page de présentation, les développeurs expliquent que « nous avons développé un virus qui, une fois ouvert dans un système d’exploitation Windows, chiffre tous les fichiers. Une fois que le processus est terminé, il affiche un message demandant de payer une rançon à une adresse bitcoin pour déverrouiller les fichiers ».

Les développeurs expliquent aux potentiels utilisateurs de Tox qu’il est relativement aisé de créer un ransomware en quelques simples étapes : décider du montant exigible, entrer sa « cause », soumettre le captcha. Vous pouvez voir un exemple de configuration ci-dessous.

Pour ceux d’entre vous qui se demandent ce que les créateurs du virus gagnent en proposant leur logiciel gratuitement, sachez qu’ils prélèvent directement un pourcentage du montant de la rançon payée par chacune des victimes. Et, pour s’assurer de l’anonymat des paiements, ils ont opté pour un paiement en bitcoin et le réseau en oignon Tor. Ils assurent également que le taux de détection des virus générés par la plateforme est relativement bas.

« Une fois que vous avez téléchargé votre virus, vous devez infecter des gens (oui, vous pouvez utiliser un spam pour infecter les gens avec le même virus). Comment ? Ce sera à vous d’en décider. Mais la pratique la plus commune est par pièce jointe dans un courriel. Si vous décidez de suivre cette méthode, assurez-vous que votre fichier soit placé dans un zip pour prévenir toute détection éventuelle d’antivirus ou d’antispam », expliquent-ils. Et d'ajouter « la partie la plus importante : les bitcoins payés par la victime seront crédités dans votre compte. Nous garderons uniquement 30 % de frais du montant. Aussi, si vous spécifiez une rançon de 100 dollars, vous en obtiendrez 70 dollars et nous 30 dollars. Cela vous convient-il ? ».

Le modèle généré utilisé par les développeurs derrière Tox est aussi simple qu’efficace. Le constructeur de malware génère un fichier exécutable qui pèse pratiquement 2 Mo et se présente comme étant un fichier .scr, une extension qui est utilisée par les écrans de veille sur Windows. Ce sont donc des fichiers particulièrement susceptibles de contenir des virus ou des logiciels malveillants, car n'importe quel programme Windows portant l'extension SCR s'exécute lorsque l'utilisateur double-clique dessus. Les utilisateurs novices s'en méfient en général moins.

Depuis leurs comptes, les utilisateurs de Tox peuvent voir l’avancement de leurs campagnes et l’argent qui a déjà été généré. Un module de statistiques leur permet également d’analyser les performances victime par victime, et en temps réel. Ils peuvent même être conseillés sur la manière d’utiliser leur service par des experts en la matière au travers d’une session chat.

Les utilisateurs de Tox peuvent donc propager le virus en utilisant un moyen de leur convenance et recevront des fonds directement dans les adresses Bitcoin qu’ils ont fournies en s’inscrivant. Cependant, les experts de McAfee expliquent que le malware manque de complexité et d’efficacité dans la mesure où les développeurs ont laissé plusieurs strings d’identification dans le code.

« Le logiciel malveillant généré par Tox est compilé en MinGW et utilise un chiffrement AES pour chiffrer les fichiers clients via la bibliothèque Crypto++. CryptoAPI de Microsoft est utilisé pour la génération de clé », explique McAfee. Les experts ont soulignés que plusieurs acteurs dans le marché pourraient s’inspirer de ce modèle de vente et ils s’attendent à ce que les logiciels développés deviennent de plus en plus perfectionnés.


Source : McAfee

[solstyce39]

Je dois êtes vieux jeux, mais je m'interroge quand même de l'intéret de diffuser ce genre d'infos sur un site comme developpez.com

[RyzenOC]

Il est vrai que se site n'est pas réputé pour être un site de "kévin" qui crée "leurs virus" avec ce genre d'outil

C'est mieux d'en crée un soit même, avec du code, du vrai.
Par contre je savais pas que l'on pouvais mettre un exe dans un fichier src.

Un petit programme de crypto en python pour prouver que c'est pas trop difficile a crée :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
from Crypto.Cipher import AES
 
motclaire = "abcdefghijklmnopabcdefghijklmnop"
 
coder = AES.new("iDhrFnO9jN6dEdgUnCg54dpEfaAzBcUd", AES.MODE_ECB)
 
motcrypte = coder.encrypt(motclaire)
 
decoder = AES.new("iDhrFnO9jN6dEdgUnCg54dpEfaAzBcUd", AES.MODE_ECB)
 
motdecrypte = decoder.decrypt(motcrypte)
 
print motclaire
print motcrypte
print motdecrypte

Reste après a l'appliquer sur tous les fichiers du disque dur accessible par l'utilisateurs, dans une boucle while.

[Theta]

C'est moi ou cet article a un petit air de tutoriel?

[rmaker]

Désolé mais moi, ce genre de nouvelle, ça m'intéresse:

• pour mesurer la créativité des auteurs de virus,
• et dans ce cas là, voir un "business model" nouveau, et, à mon avis, cohérent

Merci à l'auteur de la nouvelle de l'avoir posté

[RyzenOC]

Juste une question, si la victime paye la rançon, ces fichiers sont t'il de nouveau accessible ?

[Invité]

Cela a tout a fait ça place ici. C'est en comprenant l'attaque qu'on sait se défendre.

Et niveau culture G c'est toujours intéressant !

EDIT : Et je pense que le titre est accrocheur justement pour souligner la facilité de mise en place...

[DripKi_13]

bonjour à tous,

Il n'est pas sûr de récupérer les données une fois qu'on ai payé, car le but c'est de payer.

[youtpout978]

Juste une question, si la victime paye la rançon, ces fichiers sont t'il de nouveau accessible ?

Attends je t'envoi un mail tu me diras si ça marche

[Sicyons]

rassurez-vous que votre fichier soit placé dans un zip pour prévenir toute détection éventuelle d’antivirus ou d’antispam

Il n'y a que moi que ça choque ?

[BigBenSun]

Pour ma part le sujet est intéressant à plus d'un point de vue :
* savoir la facilité avec laquelle ce type de logiciels malveillants peuvent être conçus. Même si ça fait un peu recette de cuisine pour en faire un je n'en ai certainement pas l'intention.
* réatirer l'attention sur le ransomware
* éveiller ma culture générale sur le sujet

Autrement dit je crois bien qu'il a toute sa place. Certains le feront peut être sur une vm par simple curiosité sans pour autant diffuser. Eh oui pourquoi pas ...

[RyzenOC]

Autrement dit je crois bien qu'il a toute sa place. Certains le feront peut être sur une vm par simple curiosité sans pour autant diffuser. Eh oui pourquoi pas ...

Faut faire gaffe,
Si elle est connecter au réseau le logiciel peut bousiller les disque locaux,
Et même sans réseau, depuis une vm on peut accéder a l’hôte en exploitant des failles.

Je testerais plutôt sur un vieux pc couper a 100% du monde extérieure, puis formater le DD.

[Thorna]

Je suis 100% d'accord sur le fait que cet article n'a rien à faire ici (c'est parait-il un site de "professionnels" de l'informatique...), qu'il est réellement une sorte de tutoriel, qu'on se moque complètement du business model de ce genre de choses (en fait tout le monde s'en fout, c'est de l’extorsion par la force, pas besoin de business model pour ça), et qu'il n'y a pas besoin d'une explication du fonctionnement de A à Z pour comprendre les dégâts que ça cause, ni la manière de se protéger.
Malheureusement, ce n'est ni de la violence et ni des grossièretés, on ne peut donc pas signaler le contenu comme indésirable ! Un comble pour un site de partage d'informations utiles habituellement assez bon...

[BufferBob]

Je dois êtes vieux jeux, mais je m'interroge quand même de l'intéret de diffuser ce genre d'infos sur un site comme developpez.com

oui je suis assez d'accord, y'a sans doute la question d'une certaine déontologie quant au fait de laisser l'adresse visible dans les captures d'écran par exemple, ou tout simplement de relayer l'information "telle quelle" sans la passer au filtre du constat que le public visé sur dvp/sécurité n'est sans doute pas le même que celui qui va chercher l'information sur les blogs spécialisés ou la mailing list bugtraq etc.

ça peut paraitre étrange, mais c'est pourtant valide comme raisonnement, pour faire simple entre un adulte chercheur en sécurité habitué à lire des news comme celle ci et qui est plus intéressé par les détails techniques éventuels que motivé par l’appât du gain et le toto à peine majeur, "wannabe hacker" pour qui se faire un peu de pognon ou se hisser un peu plus haut dans la cyber-chaine-alimentaire importe plus que le fait de comprendre comment ça fonctionne sous le capot, cette news ne sera pas perçue pareil, et en l'occurrence ici on y détaille plus les fonctionnalités du produit et où le trouver qu'autre chose

bon et puis finalement si demain j'ouvre un thread pour expliquer comment coder un rootkit noyau sous linux je serais probablement hors charte, alors que l'article fourmillerait de détails techniques que seul une personne qui connait le C, l'ASM, le fonctionnement du système, la programmation noyau etc. pourrait appréhender, tandis que dans cette news pour peu qu'on sache faire un double-clic pour installer Tor y'a plus qu'à copier bêtement l'url, moi je trouve ça bien plus dangereux et propice à inciter à faire des conneries quand même...

[TiranusKBX]

oui je suis assez d'accord, y'a sans doute la question d'une certaine déontologie quant au fait de laisser l'adresse visible dans les captures d'écran par exemple, ou tout simplement de relayer l'information "telle quelle" sans la passer au filtre du constat que le public visé sur dvp/sécurité n'est sans doute pas le même que celui qui va chercher l'information sur les blogs spécialisés ou la mailing list bugtraq etc.

ça peut paraitre étrange, mais c'est pourtant valide comme raisonnement, pour faire simple entre un adulte chercheur en sécurité habitué à lire des news comme celle ci et qui est plus intéressé par les détails techniques éventuels que motivé par l’appât du gain et le toto à peine majeur, "wannabe hacker" pour qui se faire un peu de pognon ou se hisser un peu plus haut dans la cyber-chaine-alimentaire importe plus que le fait de comprendre comment ça fonctionne sous le capot, cette news ne sera pas perçue pareil, et en l'occurrence ici on y détaille plus les fonctionnalités du produit et où le trouver qu'autre chose

bon et puis finalement si demain j'ouvre un thread pour expliquer comment coder un rootkit noyau sous linux je serais probablement hors charte, alors que l'article fourmillerait de détails techniques que seul une personne qui connait le C, l'ASM, le fonctionnement du système, la programmation noyau etc. pourrait appréhender, tandis que dans cette news pour peu qu'on sache faire un double-clic pour installer Tor y'a plus qu'à copier bêtement l'url, moi je trouve ça bien plus dangereux et propice à inciter à faire des conneries quand même...

Il est vrai que cet article vas trop loin dans les détails mais de la à dire qu'il n'à pas sa place ici c'est exagéré

[BufferBob]

Il est vrai que cet article vas trop loin dans les détails mais de la à dire qu'il n'à pas sa place ici c'est exagéré

oh ben "je m'interroge sur l'intérêt de l'article" et de son contenu, la façon dont il est mis en valeur etc. mais j'ai pas dit qu'il n'avait pas sa place, y'a vraiment que l'équipe dvp/les chroniqueurs qui peuvent le dire ça, mais disons que se poser la question de la réception par l'ensemble du public concerné de cet article me semble plus pertinent que la seule question de savoir si ça m’intéresse moi et si j'y trouve mon intérêt individuel

[SurferIX]

Ah et si on est sur Linux, on est concerné ?

[ChristianRoberge]

Il vaudrait mieux trouver des solutions pour se prémunir contre ce type d'agression que de propager le mal...