Comment créer votre logiciel malveillant en trois étapes ?
Tox permet aux cybercriminels de suivre en temps réel les campagnes de piratage
Le 2015-05-28 09:52:44, par Stéphane le calme, Chroniqueur Actualités
Dans les réseaux criminels, il est aisé de se procurer un kit de construction de malware qui permet de mettre sur pied du code malveillant partant de certains modèles ou même d’applications légitimes dans certains cas. Durant leurs recherches, les experts de McAfee ont identifié un nouveau venu dans cette famille ; un éditeur de ransomware relativement simple d’utilisation qui devient de plus en plus populaire dans l’écosystème criminel et intéresse les escrocs en tout genre.
Baptisé Tox, l’éditeur de ransomware est disponible en ligne depuis le 19 mai sur le réseau en oignon. Sur la page de présentation, les développeurs expliquent que « nous avons développé un virus qui, une fois ouvert dans un système d’exploitation Windows, chiffre tous les fichiers. Une fois que le processus est terminé, il affiche un message demandant de payer une rançon à une adresse bitcoin pour déverrouiller les fichiers ».
Les développeurs expliquent aux potentiels utilisateurs de Tox qu’il est relativement aisé de créer un ransomware en quelques simples étapes : décider du montant exigible, entrer sa « cause », soumettre le captcha. Vous pouvez voir un exemple de configuration ci-dessous.
Pour ceux d’entre vous qui se demandent ce que les créateurs du virus gagnent en proposant leur logiciel gratuitement, sachez qu’ils prélèvent directement un pourcentage du montant de la rançon payée par chacune des victimes. Et, pour s’assurer de l’anonymat des paiements, ils ont opté pour un paiement en bitcoin et le réseau en oignon Tor. Ils assurent également que le taux de détection des virus générés par la plateforme est relativement bas.
« Une fois que vous avez téléchargé votre virus, vous devez infecter des gens (oui, vous pouvez utiliser un spam pour infecter les gens avec le même virus). Comment ? Ce sera à vous d’en décider. Mais la pratique la plus commune est par pièce jointe dans un courriel. Si vous décidez de suivre cette méthode, assurez-vous que votre fichier soit placé dans un zip pour prévenir toute détection éventuelle d’antivirus ou d’antispam », expliquent-ils. Et d'ajouter « la partie la plus importante : les bitcoins payés par la victime seront crédités dans votre compte. Nous garderons uniquement 30 % de frais du montant. Aussi, si vous spécifiez une rançon de 100 dollars, vous en obtiendrez 70 dollars et nous 30 dollars. Cela vous convient-il ? ».
Le modèle généré utilisé par les développeurs derrière Tox est aussi simple qu’efficace. Le constructeur de malware génère un fichier exécutable qui pèse pratiquement 2 Mo et se présente comme étant un fichier .scr, une extension qui est utilisée par les écrans de veille sur Windows. Ce sont donc des fichiers particulièrement susceptibles de contenir des virus ou des logiciels malveillants, car n'importe quel programme Windows portant l'extension SCR s'exécute lorsque l'utilisateur double-clique dessus. Les utilisateurs novices s'en méfient en général moins.
Depuis leurs comptes, les utilisateurs de Tox peuvent voir l’avancement de leurs campagnes et l’argent qui a déjà été généré. Un module de statistiques leur permet également d’analyser les performances victime par victime, et en temps réel. Ils peuvent même être conseillés sur la manière d’utiliser leur service par des experts en la matière au travers d’une session chat.
Les utilisateurs de Tox peuvent donc propager le virus en utilisant un moyen de leur convenance et recevront des fonds directement dans les adresses Bitcoin qu’ils ont fournies en s’inscrivant. Cependant, les experts de McAfee expliquent que le malware manque de complexité et d’efficacité dans la mesure où les développeurs ont laissé plusieurs strings d’identification dans le code.
« Le logiciel malveillant généré par Tox est compilé en MinGW et utilise un chiffrement AES pour chiffrer les fichiers clients via la bibliothèque Crypto++. CryptoAPI de Microsoft est utilisé pour la génération de clé », explique McAfee. Les experts ont soulignés que plusieurs acteurs dans le marché pourraient s’inspirer de ce modèle de vente et ils s’attendent à ce que les logiciels développés deviennent de plus en plus perfectionnés.
Source : McAfee
Baptisé Tox, l’éditeur de ransomware est disponible en ligne depuis le 19 mai sur le réseau en oignon. Sur la page de présentation, les développeurs expliquent que « nous avons développé un virus qui, une fois ouvert dans un système d’exploitation Windows, chiffre tous les fichiers. Une fois que le processus est terminé, il affiche un message demandant de payer une rançon à une adresse bitcoin pour déverrouiller les fichiers ».
Les développeurs expliquent aux potentiels utilisateurs de Tox qu’il est relativement aisé de créer un ransomware en quelques simples étapes : décider du montant exigible, entrer sa « cause », soumettre le captcha. Vous pouvez voir un exemple de configuration ci-dessous.
Pour ceux d’entre vous qui se demandent ce que les créateurs du virus gagnent en proposant leur logiciel gratuitement, sachez qu’ils prélèvent directement un pourcentage du montant de la rançon payée par chacune des victimes. Et, pour s’assurer de l’anonymat des paiements, ils ont opté pour un paiement en bitcoin et le réseau en oignon Tor. Ils assurent également que le taux de détection des virus générés par la plateforme est relativement bas.
« Une fois que vous avez téléchargé votre virus, vous devez infecter des gens (oui, vous pouvez utiliser un spam pour infecter les gens avec le même virus). Comment ? Ce sera à vous d’en décider. Mais la pratique la plus commune est par pièce jointe dans un courriel. Si vous décidez de suivre cette méthode, assurez-vous que votre fichier soit placé dans un zip pour prévenir toute détection éventuelle d’antivirus ou d’antispam », expliquent-ils. Et d'ajouter « la partie la plus importante : les bitcoins payés par la victime seront crédités dans votre compte. Nous garderons uniquement 30 % de frais du montant. Aussi, si vous spécifiez une rançon de 100 dollars, vous en obtiendrez 70 dollars et nous 30 dollars. Cela vous convient-il ? ».
Le modèle généré utilisé par les développeurs derrière Tox est aussi simple qu’efficace. Le constructeur de malware génère un fichier exécutable qui pèse pratiquement 2 Mo et se présente comme étant un fichier .scr, une extension qui est utilisée par les écrans de veille sur Windows. Ce sont donc des fichiers particulièrement susceptibles de contenir des virus ou des logiciels malveillants, car n'importe quel programme Windows portant l'extension SCR s'exécute lorsque l'utilisateur double-clique dessus. Les utilisateurs novices s'en méfient en général moins.
Depuis leurs comptes, les utilisateurs de Tox peuvent voir l’avancement de leurs campagnes et l’argent qui a déjà été généré. Un module de statistiques leur permet également d’analyser les performances victime par victime, et en temps réel. Ils peuvent même être conseillés sur la manière d’utiliser leur service par des experts en la matière au travers d’une session chat.
Les utilisateurs de Tox peuvent donc propager le virus en utilisant un moyen de leur convenance et recevront des fonds directement dans les adresses Bitcoin qu’ils ont fournies en s’inscrivant. Cependant, les experts de McAfee expliquent que le malware manque de complexité et d’efficacité dans la mesure où les développeurs ont laissé plusieurs strings d’identification dans le code.
« Le logiciel malveillant généré par Tox est compilé en MinGW et utilise un chiffrement AES pour chiffrer les fichiers clients via la bibliothèque Crypto++. CryptoAPI de Microsoft est utilisé pour la génération de clé », explique McAfee. Les experts ont soulignés que plusieurs acteurs dans le marché pourraient s’inspirer de ce modèle de vente et ils s’attendent à ce que les logiciels développés deviennent de plus en plus perfectionnés.
Source : McAfee
-
rmakerMembre expérimentéDésolé mais moi, ce genre de nouvelle, ça m'intéresse:
- pour mesurer la créativité des auteurs de virus,
- et dans ce cas là, voir un "business model" nouveau, et, à mon avis, cohérent
Merci à l'auteur de la nouvelle de l'avoir postéle 28/05/2015 à 11:04 -
youtpout978Expert confirméle 28/05/2015 à 11:47
-
RyzenOCInactifFaut faire gaffe,Autrement dit je crois bien qu'il a toute sa place. Certains le feront peut être sur une vm par simple curiosité sans pour autant diffuser. Eh oui pourquoi pas ...
Si elle est connecter au réseau le logiciel peut bousiller les disque locaux,
Et même sans réseau, depuis une vm on peut accéder a l’hôte en exploitant des failles.
Je testerais plutôt sur un vieux pc couper a 100% du monde extérieure, puis formater le DD.le 28/05/2015 à 15:53 -
Cela a tout a fait ça place ici. C'est en comprenant l'attaque qu'on sait se défendre.
Et niveau culture G c'est toujours intéressant !
EDIT : Et je pense que le titre est accrocheur justement pour souligner la facilité de mise en place...le 28/05/2015 à 11:45 -
RyzenOCInactifJuste une question, si la victime paye la rançon, ces fichiers sont t'il de nouveau accessible ?le 28/05/2015 à 11:08
-
DripKi_13Nouveau membre du Clubbonjour à tous,
Il n'est pas sûr de récupérer les données une fois qu'on ai payé, car le but c'est de payer.le 28/05/2015 à 11:46 -
SurferIXMembre chevronnéAh et si on est sur Linux, on est concerné ?le 04/06/2015 à 9:59
-
solstyce39Membre confirméJe dois êtes vieux jeux, mais je m'interroge quand même de l'intéret de diffuser ce genre d'infos sur un site comme developpez.comle 28/05/2015 à 10:48
-
RyzenOCInactifIl est vrai que se site n'est pas réputé pour être un site de "kévin" qui crée "leurs virus" avec ce genre d'outil
C'est mieux d'en crée un soit même, avec du code, du vrai.
Par contre je savais pas que l'on pouvais mettre un exe dans un fichier src.
Un petit programme de crypto en python pour prouver que c'est pas trop difficile a crée :
Reste après a l'appliquer sur tous les fichiers du disque dur accessible par l'utilisateurs, dans une boucle while.Code : 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15from Crypto.Cipher import AES motclaire = "abcdefghijklmnopabcdefghijklmnop" coder = AES.new("iDhrFnO9jN6dEdgUnCg54dpEfaAzBcUd", AES.MODE_ECB) motcrypte = coder.encrypt(motclaire) decoder = AES.new("iDhrFnO9jN6dEdgUnCg54dpEfaAzBcUd", AES.MODE_ECB) motdecrypte = decoder.decrypt(motcrypte) print motclaire print motcrypte print motdecryptele 28/05/2015 à 11:00 -
SicyonsMembre régulierIl n'y a que moi que ça choque ?rassurez-vous que votre fichier soit placé dans un zip pour prévenir toute détection éventuelle d’antivirus ou d’antispamle 28/05/2015 à 12:46