+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    2 971
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 2 971
    Points : 66 251
    Points
    66 251

    Par défaut Un spambot s'appuie sur 711 millions d'entrées pour diffuser le malware bancaire Ursnif

    Un spambot s'appuie sur 711 millions d'entrées pour diffuser le malware bancaire Ursnif,
    vérifiez que votre compte n'en fait pas partie

    Un chercheur en sécurité, qui répond au pseudonyme Benkow et qui est basé à Paris, a découvert un serveur Web ouvert et accessible hébergé aux Pays-Bas. Ce serveur stocke des dizaines de fichiers texte contenant un énorme lot d'adresses e-mail, de mots de passe et de serveurs de messagerie utilisés pour envoyer des spams .

    Des informations d’identification importantes pour un spambot dont l’opérateur veut lancer des campagnes de spamming à grande échelle tout en espérant contourner les filtres anti-spam.en envoyant des courriels via des serveurs de messagerie légitimes.

    Baptisé “Onliner”, le spambot a servi à diffuser le malware bancaire Ursnif (un cheval de Troie de vol de données utilisé pour saisir des informations personnelles telles que les détails de connexion, les mots de passe et les données de carte de crédit) dans des boîtes e-mail à l’échelle internationale.

    D’ailleurs, Benkow s’étonne de voir que les spambot sont souvent négligés par les chercheurs en sécurité : « Dans une campagne de cybercriminalité réussie, il existe différentes parties, la charge utile finale est importante, mais le processus de spam est également très critique. Certaines campagnes de logiciels malveillants, comme Locky, sont couronnées de succès également parce que le processus de spam fonctionne bien. Ce cas est un bon exemple. »

    Il s’est empressé de faire un billet explicatif pour rappeler ce qu’est un spambot, pourquoi les escrocs les utilisent et pourquoi ils ont besoin d'une énorme liste d’identifiants

    Dans le passé, il était plus facile pour les attaquants d'envoyer des spams de masse : ils devaient simplement scanner Internet pour trouver un serveur SMTP vulnérable (avec des mots de passe faibles ou en mode Open Relay) et les utiliser pour envoyer des spams.

    Cependant, aujourd'hui, c'est plus compliqué. Il existe de nombreuses entreprises antispam, produits ou pare-feu. La plupart des relais ouverts sont listés sur la liste noire et les attaquants doivent trouver une autre façon d'envoyer des spams de masse.

    Parmi les options disponibles, Benkow en retient en particulier deux :


    PHP Mailer

    Durant ses recherches, il a été le plus souvent confronté à des situations où les spammeurs se sont appuyés sur des sites Web compromis. Ce type de campagne de spam a été utilisée pour les attaques Andromeda.

    Le principe est simple :
    • Le spammeur hacke beaucoup (10k / 20k) de sites Web (via des vulnérabilités bien connues sur Wordpress, Joomla, OpenCart ou FTP/SSH bruteforce, etc.) ou achète l’accès à de nombreux sites Web sur un magasin aléatoire
    • Il utilise ces sites Web pour héberger un script PHP chargé d'envoyer des emails.
    • Il contrôle tous les sites via un logiciel ou un panneau Web et les utilise pour envoyer des spams.

    En raison du nombre presque infini de sites Web périmés sur Internet, il est difficile de créer une liste noire de tous les sites Web et il est vraiment facile de les utiliser pour le spammeur.

    Spammer via un malware

    L'autre moyen le plus fréquent d'envoyer des spams est que l'attaquant crée ou achète un logiciel malveillant spécifique utilisé pour infecter les personnes et envoyer des spams. Plus l'attaquant infecte les personnes, plus il peut distribuer des spams à travers différentes adresses IP.

    Cependant, une machine Windows infectée au hasard n'est pas nécessaire pour envoyer des spams. Pour cela, l'attaquant n’a besoin que de certaines informations d'identification du serveur de messagerie (SMTP). En effet, pour envoyer un spam, l'attaquant a besoin d'une énorme liste de références SMTP. Pour ce faire, il n'y a que deux options : la créer ou l’acheter. C’est le même principe que les adresses IP : plus il y a de serveurs SMTP, plus large peut être la campagne.

    En clair, ces identifiants s’avèrent déterminants pour que le spammeur puisse mener à bien sa campagne.


    Ces identifiants proviennent de diverses campagnes de phishing, de logiciels malveillants qui volent des identifiants (comme Pony) ou peuvent être achetés sur le Dark Web. Benkow assure qu’une partie de ces identifiants, qu’il a estimés à environ deux millions, provient de campagne de phishing sur Facebook. « Ceux que j’ai testés semblent marcher et ne figurent pas sur HIBP », a-t-il assuré.

    Aussi, Benkow a contacté Troy Hunt, le spécialiste en sécurité derrière le site HIBP (Have I Been Pwned) qui alerte les utilisateurs sur les violations de comptes, pour lui faire parvenir la liste d’identification qu’il a obtenue de ce serveur ouvert. « La semaine dernière, j'ai été contacté par quelqu'un qui m'a alerté de la présence d'une liste de spam. Une grosse liste. C'est un terme plutôt relatif parce que j’ai déjà téléchargé de “grosses” listes de spam dans Have I Been Pwned (HIBP). Pourtant, la plus importante à ce jour comportait 393 millions d’entrées et provenait de River City Media. Celle sur laquelle j’écris aujourd’hui comporte 711 millions d’entrées, ce qui en fait l’ensemble de données le plus important que j'ai jamais téléchargé dans HIBP. Juste pour vous donner une idée de son importance, elle correspond à pratiquement une adresse pour chaque homme, femme et enfant dans toute l'Europe », a commenté Hunt.

    Benkow a expliqué que les opérateurs du spambot se sont servis d’une technique de fingerprinting bien connue de la sphère marketing, pour obtenir un certain nombre d’informations.

    Avant de commencer une nouvelle campagne, l'attaquant a utilisé le spambot pour envoyer ce type d'e-mails

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    IMG width=1 height=1 src="http://conceptcreationnv.com/2015/cgi-bin/{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}.gif?{email}" alt="mobile">
    Hello, Champ {friend|champion\enthusiast}! How {are you|is your day}?
    {My name is|I'm} Natalia. Do you believe in {fate|destiny}?
    Love is inseparable fellow of hope. {Sorry for|Pardon} my English, but I hope you'll {understand|get} that I let my {passion|flame} speak for me.
    I wish you realize that it's not just some words - it's a faith that lies within my soul.
    I hope you won't leave it at just {cursory reading|skimming} of the letter, and will {see|recognize} my true feelings behind it.
    It like I'm sending you {piece|part} of my soul. It's really important to me!
    Because I'm looking for a serious man who's ready to build {meaningful|committed} {relationship|partnership}.
    I wanna go {on|through} a journey from a beautiful bride to a caring mother.
    I dream to meet {an honest|a sincere} man, who will take me to {mysterious|secret} {places|lands} and show me a whole new world.
    Don't give me your sympathy, give your feelings instead!
    I hope to see {through|in} your {response|answer} that your interest in me has a depth. Eagerly awaiting for your {letter|message} and {photos|pictures}!
    Bye-bye!
    « Si vous regardez attentivement le courrier électronique, vous verrez que dans ce spam aléatoire, il y a un 1x1 GIF caché. Cette méthode est bien connue dans l'industrie du marketing.

    « En effet, lorsque vous ouvrez ce spam aléatoire, une demande avec votre IP et votre Agent utilisateur sera envoyée au serveur qui héberge le GIF. Avec ces informations, le spammeur est en mesure de savoir quand vous avez ouvert le courrier électronique, depuis quel endroit, mais aussi sur quel périphérique (iPhone, Outlook…).

    « Dans le même temps, la demande permet également à l'attaquant de savoir que l’adresse mail est valide et que les gens ont ouvert des spams », a-t-il expliqué.

    Vérifiez que votre compte n'en fait pas partie sur HIBP

    Source : billet Benkow, billet Troy Hunt
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Rédacteur/Modérateur

    Avatar de fadace
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    octobre 2002
    Messages
    4 047
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 47
    Localisation : Suisse

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : octobre 2002
    Messages : 4 047
    Points : 17 470
    Points
    17 470
    Billets dans le blog
    9

    Par défaut

    Un peu nul ce test : ca détermine juste que votre email fait partie des emails qui ont été piratés durant la période... par conte, bien que vous ayez changé votre mot de passe dès la détection de la brêche et qu'aucun dommage n'ait été commis avec ledit compte, vous restez pour toujours un compte "piraté"...
    Sr DBA Oracle / MS-SQL / MySQL / Postgresql / SAP-Sybase / Informix / DB2

    N'oublie pas de consulter mes articles, mon blog, les cours et les FAQ SGBD

    Attention : pas de réponse technique par MP : pensez aux autres, passez par les forums !

  3. #3
    Nouveau membre du Club
    Homme Profil pro
    personnage virtuel
    Inscrit en
    mars 2015
    Messages
    33
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : personnage virtuel
    Secteur : Conseil

    Informations forums :
    Inscription : mars 2015
    Messages : 33
    Points : 34
    Points
    34

    Par défaut Bof

    En effet, le test est un peu attrape nigaud. Mais il a le mérite d'attirer les lecteurs déjà intrigué par le coté anxiogène de l'article. Ceci dit, c'est plutôt un bien de rappeler les différentes techniques employées par véhiculer les spams.

Discussions similaires

  1. Réponses: 3
    Dernier message: 22/07/2017, 11h13
  2. Simuler l'appui sur une touche, au niveau système
    Par debutant java dans le forum AWT/SWING
    Réponses: 5
    Dernier message: 13/08/2004, 12h51
  3. Execution d'une fonction lors de l'appui sur CTRL+ALT+I
    Par cyberlewis dans le forum Windows
    Réponses: 4
    Dernier message: 17/03/2004, 01h35
  4. Application.OnHelp et appui sur F1
    Par mathieutlse dans le forum Langage
    Réponses: 2
    Dernier message: 04/07/2003, 11h19
  5. Détecter l'appui sur la touche de fonction F2
    Par titiyo dans le forum Composants VCL
    Réponses: 6
    Dernier message: 18/06/2003, 11h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo