Botnet Probe affiche 70G octets de données personnelles et financières

Des chercheurs de l'Université de Californie ont pris le contrôle d'un réseau d'ordinateurs piratés bien connu et puissant pendant 10 jours, obtenant un aperçu de la façon dont il vole des données personnelles et financières.

Le botnet, connu sous le nom de Torpig ou Sinowal, est l'un des réseaux les plus sophistiqués utilisant des logiciels malveillants difficiles à détecter pour infecter des ordinateurs et récolter ensuite des données telles que des mots de passe et des informations bancaires en ligne. ont pu surveiller plus de 180 000 ordinateurs piratés en exploitant une faiblesse du réseau de commande et de contrôle utilisé par les pirates pour contrôler les ordinateurs. Cependant, cela n'a duré que 10 jours, jusqu'à ce que les pirates aient mis à jour les instructions de commande et de contrôle, selon l'article de 13 pages des chercheurs.

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows] Pourtant, c'était assez d'une fenêtre pour voir le pouvoir de collecte de données de Torpig / Sinowal. En peu de temps, environ 70G octets de données ont été collectés à partir d'ordinateurs piratés.

Les chercheurs ont stocké les données et travaillent avec des organismes d'application de la loi tels que le Federal Bureau of Investigation des États-Unis et même le Département américain de la Défense. victimes. Les fournisseurs d'accès ont également fermé certains sites Web qui fournissaient de nouvelles commandes aux machines piratées, écrit-ils.

Torpig / Sinowal peut pirater des noms d'utilisateurs et des mots de passe de clients de messagerie tels qu'Outlook, Thunderbird et Eudora adresses électroniques dans ces programmes pour une utilisation par les spammeurs. Il peut également collecter les mots de passe des navigateurs Web.

Torpig / Sinowal peut infecter un PC si un ordinateur visite un site Web malveillant conçu pour vérifier si l'ordinateur dispose d'un logiciel non corrigé, technique connue sous le nom de téléchargement par drive-by. Si l'ordinateur est vulnérable, un logiciel malveillant de bas niveau appelé un rootkit est enfoncé profondément dans le système.

Les chercheurs ont découvert que Torpig / Sinowal finit sur un système après avoir été infecté par Mebroot, un rootkit qui est apparu autour de Décembre 2007.

Mebroot infecte Master Boot Record (MBR) d'un ordinateur, le premier code qu'un ordinateur recherche lors du démarrage du système d'exploitation après l'exécution du BIOS. Mebroot est puissant car toutes les données qui quittent l'ordinateur peuvent être interceptées.

Mebroot peut également télécharger d'autres codes sur l'ordinateur

Torpig / Sinowal est personnalisé pour saisir des données quand une personne visite certains sites bancaires et autres sites Web. Il est codé pour répondre à plus de 300 sites Web, les plus ciblés étant PayPal, Poste Italiane, Capital One, E-Trade et Chase Bank, selon le journal.

Si une personne se rend sur un site Web bancaire, un formulaire falsifié est livré qui semble faire partie du site légitime, mais demande une gamme de données qu'une banque ne demanderait normalement pas, comme un code PIN (numéro d'identification personnel) ou un numéro de carte de crédit.

Les sites Web utilisant Les chiffreurs SSL (Secure Sockets Layer) ne sont pas sûrs s'ils sont utilisés par un PC avec Torpig / Sinowal, car les logiciels malveillants saisissent les informations avant qu'elles ne soient cryptées.

Les pirates vendent généralement des mots de passe et des informations bancaires sur des forums clandestins. d'autres criminels, qui tentent de dissimuler les données en espèces. Bien qu'il soit difficile d'estimer avec précision la valeur de l'information recueillie au cours des 10 jours, elle pourrait valoir de 83 000 à 8,3 millions de dollars, selon le document de recherche.

Il existe des moyens de perturber les botnets comme Torpig / Sinowal. Le code botnet inclut un algorithme qui génère des noms de domaine que le malware appelle pour de nouvelles instructions.

Les ingénieurs de sécurité ont souvent été capables de comprendre ces algorithmes pour prédire les domaines sur lesquels le malware va faire appel et préenregistrer ces domaines pour perturber le botnet. C'est un processus coûteux, cependant. Le ver Conficker, par exemple, peut générer jusqu'à 50 000 noms de domaine par jour.

Les bureaux d'enregistrement, des sociétés qui vendent des enregistrements de noms de domaine, devraient jouer un plus grand rôle dans la coopération avec la communauté de la sécurité, ont écrit les chercheurs. Mais les bureaux d'enregistrement ont leurs propres problèmes.

"A quelques exceptions près, ils manquent souvent de ressources, d'incitations ou de culture pour faire face aux problèmes de sécurité liés à leurs rôles", indique le document.