Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Des posts de keyloggers sur des pages Web

Auteur : Loredana Botezatu Date : 06/11/2010

De nombreux posts de keyloggers se sont accumulés sur Pastebin.com faisant craindre des attaques massives de keyloggers

Comme si le nombre d’entrées postées par les keyloggers (Programme agissant à l’insu de l’utilisateur et enregistrant toutes les frappes de clavier) sur Pastebin n’était pas suffisant, leur contenu a également de quoi inquiéter : au lieu du code open-source attendu, on y trouve des mots de passe Facebook ou de Messagerie Instantanée, ainsi que des informations détaillées sur l’historique de navigation des utilisateurs peu méfiants.

La quantité de données exposées est suffisante pour éliminer l’hypothèse d’une mise en ligne manuelle. Une observation plus attentive révèle qu’il s’agit d’une infection massive de keyloggers.

Résultats de la recherche de données

Pourquoi utiliser Pastebin.com comme référentiel de logs ?

En général, les keyloggers ont recours à des approches de transfert classiques et envoient les paquets de données via e-mail ou FTP, ce qui augmente considérablement les risques que les autorités découvrent l’identité de l’attaquant distant.

De plus, l’approche par e-mail est extrêmement peu discrète : il est facile pour un administrateur système de détecter le trafic, sans parler du fait que les logiciels antimalwares informent généralement les utilisateurs qu’un e-mail quitte leur système. D’autres fois, les ports de messagerie (en général les ports 25, 465 et 578) sont sécurisés ou bloqués, ce qui empêche la transmission des données du keylogger.

C’est pourquoi ce keylogger emploie des tactiques « personnalisées » telles que le dépôt des données sur un emplacement web. Disons que Pastebin évite d’être bloqué par un pare-feu, de laisser des traces, n’indique pas l’adresse IP d’origine et permet donc de protéger l’identité de l’attaquant.

Le rapport d’un keylogger, tel qu’il apparaît sur Pastebin

Pastebin est une énorme plateforme collaborative hébergeant des millions de lignes de code publiées en texte en clair. Contrairement aux forums ou aux réseaux sociaux, le texte publié ne sera probablement pas vu par d’autres utilisateurs, à moins qu’ils ne le recherchent, mais en faisant une recherche ciblée, l’attaquant obtiendra assurément les logs pertinents dans la fenêtre du navigateur.

Ainsi, les victimes se font voler leurs identifiants et mots de passe via le keylogger, mais les données recueillies sont également accessibles à d’autres internautes. Et pour couronner le tout, tout ce qui a été posté reste accessible pour toujours, même si les pages en question sont supprimées (c’est l’inconvénient de la mise en cache des données), de sorte que des personnes mal intentionnées peuvent récupérer ces informations à tout moment, et les utiliser de nouveau.
L’observation des forums « underground » utilisés par les créateurs de malwares révèle une grande quantité de code source pouvant être intégré dans ces nouveaux types de keyloggers. Cela rend cette situation bien plus inquiétante qu’une mini-épidémie provoquée par l’apparition d’un seul malware et marque le début d’une nouvelle vague d’exploitation de services publics et réputés, comme cela s’est produit avec les botnets contrôlés sur Twitter.

Fragment de code Visual Basic montrant comment envoyer les données recueillies à une URL Pastebin

Informations complémentaires

Il semble que l’un des keyloggers utilisant Pastebin afin de préserver son anonymat soit en circulation depuis suffisamment de temps pour être à l’origine de la plupart des posts. Détecté par BitDefender sous le nom de Trojan.Keylogger.PBin.A, ce keylogger est une application console et utilise l’interface de programmation Pastebin pour envoyer les frappes de clavier interceptées à intervalles aléatoires.

Source : malwarecity