211service.com
La plupart des logiciels malveillants liés au marché du « Pay-Per-Install »
De nouvelles recherches suggèrent que la majorité des ordinateurs personnels infectés par des logiciels malveillants sont peut-être arrivés à cet état grâce à un marché souterrain animé qui met en correspondance des gangs criminels qui paient pour des installations de logiciels malveillants avec des pirates informatiques entreprenants cherchant à vendre l'accès à des PC compromis.
Les services de paiement à l'installation (PPI) sont annoncés sur des forums Web souterrains obscurs. Les clients soumettent leurs logiciels malveillants (un spambot, un faux logiciel antivirus ou un cheval de Troie voleur de mots de passe) au service PPI, qui à son tour facture des tarifs de 7 $ à 180 $ pour mille installations réussies, selon l'emplacement géographique demandé des victimes souhaitées.
Les services PPI attirent également des distributeurs de logiciels malveillants entrepreneuriaux, ou des sociétés affiliées, des pirates informatiques chargés de déterminer comment installer le logiciel malveillant sur les machines des victimes. Les schémas d'installation typiques impliquent le téléchargement de programmes contaminés sur des réseaux publics de partage de fichiers ; pirater des sites Web légitimes afin de télécharger automatiquement les fichiers sur les visiteurs ; et exécuter tranquillement les programmes sur les PC qu'ils ont déjà compromis. Les affiliés ne sont crédités que pour les installations réussies, via un code d'affiliation unique et statique intégré aux programmes d'installation et communiqué au service PPI après chaque installation.
Dans un nouveau papier Des chercheurs de l'Université de Californie à Berkeley et de l'Institut d'études avancées en technologies de développement de logiciels de Madrid décrivent l'infiltration de quatre services PPI concurrents en août 2010, en détournant subrepticement plusieurs comptes d'affiliés. L'équipe a construit un système automatisé pour télécharger régulièrement les programmes d'installation poussés par les différents services PPI.
Les chercheurs ont analysé plus d'un million d'installateurs proposés par les services PPI. Cette analyse a conduit à une découverte surprenante : sur les 20 principaux types de logiciels malveillants au monde, 12 ont utilisé des services PPI pour acheter des infections.
En entrant dans cette étude, je n'ai pas compris que le PPI est potentiellement le vecteur numéro un de la méchanceté, a déclaré Vern Paxson , professeur agrégé de génie électrique et d'informatique à l'UC Berkeley. Nous avons maintenant le sentiment que les botnets valent potentiellement des millions [de dollars] par an, car ils offrent aux malfaiteurs un moyen d'externaliser la diffusion mondiale de leurs logiciels malveillants.
Les chercheurs ont entrepris de cartographier la distribution géographique des logiciels malveillants poussés par ces services. Ils ont donc conçu un moyen automatisé de télécharger les programmes d'installation. Ils ont utilisé des services tels que la plate-forme de cloud computing EC2 d'Amazon et Tor, un service gratuit qui permet aux utilisateurs de communiquer de manière anonyme en acheminant leurs connexions via plusieurs ordinateurs dans le monde, pour faire croire au programme de paiement à l'installation que les demandes provenaient d'emplacements autour le globe.
Le système a classé les logiciels malveillants collectés par type de trafic réseau, chaque échantillon généré lors de son exécution sur un système de test. Les chercheurs ont déclaré avoir pris des précautions pour empêcher les comptes affiliés d'être crédités avec les installations de test.
L'analyse des services PPI indique qu'ils ciblent le plus souvent les PC en Europe et aux États-Unis. Ces régions sont plus riches que la plupart des autres et offrent aux affiliés les taux par installation les plus élevés.
Mais les chercheurs supposent qu'il existe des facteurs autres que le prix qui peuvent influencer le choix du pays d'un client PPI. Par exemple, un spambot tel que Rustock n'a besoin que d'une adresse Internet unique pour envoyer du spam, tandis qu'un faux logiciel antivirus s'appuie sur la victime pour effectuer un paiement par carte de crédit ou bancaire, et peut donc devoir prendre en charge plusieurs langues ou méthodes d'achat.
L'équipe a également découvert que les programmes PPI installaient presque toujours des robots qui engagent des systèmes infectés dans divers stratagèmes de fraude au clic, impliquant des clics frauduleux ou automatisés sur des publicités pour générer de fausses recettes publicitaires.
Une découverte inattendue peut aider à expliquer pourquoi les PC infectés par un type de malware s'enlisent souvent rapidement avec de multiples infections : les téléchargeurs qui font partie d'un schéma récupèrent souvent les téléchargeurs d'un autre. En d'autres termes, les affiliés d'un service PPI eux-mêmes agissent parfois en tant que clients d'autres services. Par conséquent, de nombreux programmes d'installation proposés par les sociétés affiliées submergeront les PC destinataires de nombreux types de logiciels malveillants.
Nous supposons que certains de ces affiliés multi-services PPI sont des arbitragistes, essayant de tirer parti des écarts de prix entre les tarifs d'installation (plus élevés) payés aux affiliés d'un service pour une région géographique par rapport aux tarifs d'installation (inférieurs) facturés aux clients. d'un autre service PPI, ont écrit les chercheurs.
Cette dynamique crée un conflit d'intérêts inhérent au marché des PPI qui nuit à la fois aux clients et aux affiliés : plus un affilié fournit d'installations, plus le paiement reçu est important. Mais plus il y a de logiciels malveillants installés, plus il est probable que le propriétaire d'un système infecté remarque un problème et prenne des mesures pour éradiquer le logiciel malveillant.
Les services PPI ont des implications inquiétantes pour les efforts coordonnés visant à fermer les botnets. Ces derniers mois, des chercheurs en sécurité, des fournisseurs de services Internet et des organismes chargés de l'application des lois ont collaboré pour démanteler certains des plus grands botnets du monde. En mars, par exemple, Microsoft s'est associé à des sociétés de sécurité pour paralyser le botnet Rustock, l'un des botnets de spam les plus actifs de la planète.
Les chercheurs de Berkeley soutiennent que même si les défenseurs peuvent nettoyer un botnet - en détournant ses serveurs de contrôle et même en désinfectant à distance les PC - le contrôleur de ce botnet peut le reconstruire en effectuant des paiements modestes à un ou plusieurs services PPI.
Sur le marché d'aujourd'hui, l'ensemble du processus coûte quelques centimes par hôte cible, ce qui est suffisamment bon marché pour que les botmasters puissent simplement reconstruire leurs rangs à partir de zéro face aux défenseurs qui lancent des efforts de démontage intensifs et énergiques, ont écrit les chercheurs.