Des posts de keyloggers sur des pages Web
De nombreux posts de keyloggers se sont accumulés sur Pastebin.com faisant craindre des attaques massives de keyloggers
Comme si le nombre d’entrées postées par les keyloggers (programme agissant à l’insu de l’utilisateur et enregistrant toutes les frappes de clavier) sur Pastebin n’était pas suffisant, leur contenu a également de quoi inquiéter : au lieu du code open-source attendu, on y trouve des mots de passe Facebook ou de Messagerie Instantanée, ainsi que des informations détaillées sur l’historique de navigation des utilisateurs peu méfiants.
La quantité de données exposées est suffisante pour éliminer l’hypothèse d’une mise en ligne manuelle. Une observation plus attentive révèle qu’il s’agit d’une infection massive de keyloggers.
Résultats de la recherche de données
Pourquoi utiliser Pastebin.com comme référentiel de logs ?
En général, les keyloggers ont recours à des approches de transfert classiques et envoient les paquets de données via des e-mail ou FTP, ce qui augmente considérablement les risques que les autorités découvrent l’identité de l’attaquant.
De plus, l’approche par e-mail est extrêmement peu discrète : il est facile pour un administrateur système de détecter le trafic, sans parler du fait que les logiciels antimalwares informent généralement les utilisateurs qu’un e-mail quitte leur système. D’autres fois, les ports de messagerie (en général les ports 25, 465 et 578) sont sécurisés ou bloqués, ce qui empêche la transmission des données du keylogger.
C’est pourquoi ce keylogger emploie des tactiques « personnalisées » telles que le dépôt des données sur un emplacement web. Disons que Pastebin évite d’être bloqué par un pare-feu, de laisser des traces, n’indique pas l’adresse IP d’origine et permet donc de protéger l’identité de l’attaquant.
Le rapport d’un keylogger, tel qu’il apparaît sur Pastebin
Pastebin est une énorme plateforme collaborative hébergeant des millions de lignes de code publiées en texte en clair. Contrairement aux forums ou aux réseaux sociaux, le texte publié ne sera probablement pas vu par d’autres utilisateurs, à moins qu’ils ne le recherchent. Mais en faisant une recherche ciblée, l’attaquant obtiendra assurément les logs pertinents dans la fenêtre du navigateur.
Ainsi, les victimes se font voler leurs identifiants et mots de passe via le keylogger, mais les données recueillies sont également accessibles à d’autres internautes. Et pour couronner le tout, tout ce qui a été posté reste accessible pour toujours, même si les pages en question sont supprimées (c’est l’inconvénient de la mise en cache des données), de sorte que des personnes mal intentionnées peuvent récupérer ces informations à tout moment, et les utiliser de nouveau.
L’observation des forums « underground » utilisés par les créateurs de malwares révèle une grande quantité de code source pouvant être intégré dans ces nouveaux types de keyloggers. Cela rend cette situation bien plus inquiétante qu’une mini-épidémie provoquée par l’apparition d’un seul malware et marque le début d’une nouvelle vague d’exploitation de services publics et réputés, comme cela s’est produit avec les botnets contrôlés sur Twitter.
Fragment de code Visual Basic montrant comment envoyer les données recueillies à une URL Pastebin.
Informations complémentaires
Il semble que l’un des keyloggers utilisant Pastebin afin de préserver son anonymat soit en circulation depuis suffisamment de temps pour être à l’origine de la plupart des posts. Détecté par BitDefender sous le nom de Trojan.Keylogger.PBin.A, ce keylogger est une application console et utilise l’interface de programmation Pastebin pour envoyer les frappes de clavier interceptées à intervalles aléatoires.
Pour plus d’informations concernant les produits BitDefender, vous pouvez consulter www.BitDefender.fr et pour retrouver BitDefender en ligne et rester au fait de l’actualité des e-menaces :
– Flux RSS
– Facebook
– Twitter
– La communauté Malwarecity
À propos de BitDefender®
BitDefender est la société créatrice de l’une des gammes de solutions de sécurité les plus complètes et les plus certifiées au niveau international, reconnues comme étant parmi les plus rapides et les plus efficaces du marché. Depuis sa création en 2001, BitDefender n’a cessé d’élever le niveau et d’établir de nouveaux standards en matière de protection proactive des menaces. Chaque jour, BitDefender protège des dizaines de millions de particuliers et de professionnels à travers le monde – en leur garantissant une utilisation sereine et sécurisée de l’univers informatique. Les solutions de sécurité BitDefender sont distribuées dans plus de 100 pays via des partenaires revendeurs et distributeurs hautement qualifiés. Dans les pays francophones, BitDefender est édité en exclusivité par Éditions Profil. Plus d’informations sur BitDefender et ses solutions sont disponibles via le Centre de presse. Retrouvez également sur le site www.malwarecity.fr les dernières actualités au sujet des menaces de sécurité qui permettent aux utilisateurs de rester informés des dernières évolutions de la lutte contre les malwares.
À propos des Editions Profil
Editions Profil, société indépendante créée en 1989, développe, édite et diffuse des logiciels sur différents secteurs d’activités, professionnel et grand public. L’éditeur a constitué un large catalogue de solutions dans de nombreux domaines, par exemple sur les segments de la bureautique et de la productivité. Editions Profil s’est plus particulièrement spécialisée ces dernières années dans l’édition et la distribution d’outils de sécurité informatique et la protection des données en général. Editions Profil édite notamment les solutions de sécurité BitDefender et de contrôle parental Parental Filter 2, ainsi que les solutions Farstone et diffuse les solutions de récupération de données et de gestion de serveurs MS Exchange de Kroll-Ontrack.