Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Comment créer votre logiciel malveillant en trois étapes ?
Tox permet aux cybercriminels de suivre en temps réel les campagnes de piratage

Le , par Stéphane le calme

548PARTAGES

16  2 
Dans les réseaux criminels, il est aisé de se procurer un kit de construction de malware qui permet de mettre sur pied du code malveillant partant de certains modèles ou même d’applications légitimes dans certains cas. Durant leurs recherches, les experts de McAfee ont identifié un nouveau venu dans cette famille ; un éditeur de ransomware relativement simple d’utilisation qui devient de plus en plus populaire dans l’écosystème criminel et intéresse les escrocs en tout genre.

Baptisé Tox, l’éditeur de ransomware est disponible en ligne depuis le 19 mai sur le réseau en oignon. Sur la page de présentation, les développeurs expliquent que « nous avons développé un virus qui, une fois ouvert dans un système d’exploitation Windows, chiffre tous les fichiers. Une fois que le processus est terminé, il affiche un message demandant de payer une rançon à une adresse bitcoin pour déverrouiller les fichiers ».


Les développeurs expliquent aux potentiels utilisateurs de Tox qu’il est relativement aisé de créer un ransomware en quelques simples étapes : décider du montant exigible, entrer sa « cause », soumettre le captcha. Vous pouvez voir un exemple de configuration ci-dessous.


Pour ceux d’entre vous qui se demandent ce que les créateurs du virus gagnent en proposant leur logiciel gratuitement, sachez qu’ils prélèvent directement un pourcentage du montant de la rançon payée par chacune des victimes. Et, pour s’assurer de l’anonymat des paiements, ils ont opté pour un paiement en bitcoin et le réseau en oignon Tor. Ils assurent également que le taux de détection des virus générés par la plateforme est relativement bas.

« Une fois que vous avez téléchargé votre virus, vous devez infecter des gens (oui, vous pouvez utiliser un spam pour infecter les gens avec le même virus). Comment ? Ce sera à vous d’en décider. Mais la pratique la plus commune est par pièce jointe dans un courriel. Si vous décidez de suivre cette méthode, assurez-vous que votre fichier soit placé dans un zip pour prévenir toute détection éventuelle d’antivirus ou d’antispam », expliquent-ils. Et d'ajouter « la partie la plus importante : les bitcoins payés par la victime seront crédités dans votre compte. Nous garderons uniquement 30 % de frais du montant. Aussi, si vous spécifiez une rançon de 100 dollars, vous en obtiendrez 70 dollars et nous 30 dollars. Cela vous convient-il ? ».

Le modèle généré utilisé par les développeurs derrière Tox est aussi simple qu’efficace. Le constructeur de malware génère un fichier exécutable qui pèse pratiquement 2 Mo et se présente comme étant un fichier .scr, une extension qui est utilisée par les écrans de veille sur Windows. Ce sont donc des fichiers particulièrement susceptibles de contenir des virus ou des logiciels malveillants, car n'importe quel programme Windows portant l'extension SCR s'exécute lorsque l'utilisateur double-clique dessus. Les utilisateurs novices s'en méfient en général moins.


Depuis leurs comptes, les utilisateurs de Tox peuvent voir l’avancement de leurs campagnes et l’argent qui a déjà été généré. Un module de statistiques leur permet également d’analyser les performances victime par victime, et en temps réel. Ils peuvent même être conseillés sur la manière d’utiliser leur service par des experts en la matière au travers d’une session chat.


Les utilisateurs de Tox peuvent donc propager le virus en utilisant un moyen de leur convenance et recevront des fonds directement dans les adresses Bitcoin qu’ils ont fournies en s’inscrivant. Cependant, les experts de McAfee expliquent que le malware manque de complexité et d’efficacité dans la mesure où les développeurs ont laissé plusieurs strings d’identification dans le code.

« Le logiciel malveillant généré par Tox est compilé en MinGW et utilise un chiffrement AES pour chiffrer les fichiers clients via la bibliothèque Crypto++. CryptoAPI de Microsoft est utilisé pour la génération de clé », explique McAfee. Les experts ont soulignés que plusieurs acteurs dans le marché pourraient s’inspirer de ce modèle de vente et ils s’attendent à ce que les logiciels développés deviennent de plus en plus perfectionnés.

Source : McAfee

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de rmaker
Membre expérimenté https://www.developpez.com
Le 28/05/2015 à 11:04
Désolé mais moi, ce genre de nouvelle, ça m'intéresse:
  • pour mesurer la créativité des auteurs de virus,
  • et dans ce cas là, voir un "business model" nouveau, et, à mon avis, cohérent


Merci à l'auteur de la nouvelle de l'avoir posté
9  1 
Avatar de youtpout978
Membre expert https://www.developpez.com
Le 28/05/2015 à 11:47
Citation Envoyé par sazearte Voir le message
Juste une question, si la victime paye la rançon, ces fichiers sont t'il de nouveau accessible ?
Attends je t'envoi un mail tu me diras si ça marche
7  0 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 28/05/2015 à 15:53
Autrement dit je crois bien qu'il a toute sa place. Certains le feront peut être sur une vm par simple curiosité sans pour autant diffuser. Eh oui pourquoi pas ...
Faut faire gaffe,
Si elle est connecter au réseau le logiciel peut bousiller les disque locaux,
Et même sans réseau, depuis une vm on peut accéder a l’hôte en exploitant des failles.

Je testerais plutôt sur un vieux pc couper a 100% du monde extérieure, puis formater le DD.
6  0 
Avatar de NotNow
Membre actif https://www.developpez.com
Le 28/05/2015 à 11:45
Cela a tout a fait ça place ici. C'est en comprenant l'attaque qu'on sait se défendre.

Et niveau culture G c'est toujours intéressant !

EDIT : Et je pense que le titre est accrocheur justement pour souligner la facilité de mise en place...
7  2 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 28/05/2015 à 11:08
Juste une question, si la victime paye la rançon, ces fichiers sont t'il de nouveau accessible ?
3  0 
Avatar de DripKi_13
Nouveau membre du Club https://www.developpez.com
Le 28/05/2015 à 11:46
bonjour à tous,

Il n'est pas sûr de récupérer les données une fois qu'on ai payé, car le but c'est de payer.
3  0 
Avatar de SurferIX
Membre chevronné https://www.developpez.com
Le 04/06/2015 à 9:59
Ah et si on est sur Linux, on est concerné ?
3  1 
Avatar de solstyce39
Membre actif https://www.developpez.com
Le 28/05/2015 à 10:48
Je dois êtes vieux jeux, mais je m'interroge quand même de l'intéret de diffuser ce genre d'infos sur un site comme developpez.com
4  4 
Avatar de RyzenOC
Inactif https://www.developpez.com
Le 28/05/2015 à 11:00
Il est vrai que se site n'est pas réputé pour être un site de "kévin" qui crée "leurs virus" avec ce genre d'outil

C'est mieux d'en crée un soit même, avec du code, du vrai.
Par contre je savais pas que l'on pouvais mettre un exe dans un fichier src.

Un petit programme de crypto en python pour prouver que c'est pas trop difficile a crée :
Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
from Crypto.Cipher import AES
 
motclaire = "abcdefghijklmnopabcdefghijklmnop"
 
coder = AES.new("iDhrFnO9jN6dEdgUnCg54dpEfaAzBcUd", AES.MODE_ECB)
 
motcrypte = coder.encrypt(motclaire)
 
decoder = AES.new("iDhrFnO9jN6dEdgUnCg54dpEfaAzBcUd", AES.MODE_ECB)
 
motdecrypte = decoder.decrypt(motcrypte)
 
print motclaire
print motcrypte
print motdecrypte
Reste après a l'appliquer sur tous les fichiers du disque dur accessible par l'utilisateurs, dans une boucle while.
3  3 
Avatar de Sicyons
Membre régulier https://www.developpez.com
Le 28/05/2015 à 12:46
rassurez-vous que votre fichier soit placé dans un zip pour prévenir toute détection éventuelle d’antivirus ou d’antispam
Il n'y a que moi que ça choque ?
2  2