Castlecops, qui fait actuellement l'objet d'un DDoS de la part de pirates mécontents de voir leurs revenus entamés par la lutte anti-phishing organisée par cette entité, a identifié un phishing Paypal sur un site hong-kongais. En y regardant de plus près, la société CKDUCK, dont le site Web a été compromis et qui héberge ce site frauduleux, est spécialisée dans la pêche. Elle propose en effet la vente de moulinets haute technologie pour cannes à pêche.

Opportunité ou ironie de la part des ph(f)isheurs?

Petite nouveauté des interfaces d'administration de malwares, après en vrac les statistiques complètes sur le nombre de machines sous contrôle, le listing des adresses IP classées par pays, les ports ouverts disponibles, les systèmes d'exploitation utilisés (incluant le nom de la version)... voici venir la géolocalisation via Google Maps :

Websense a relevé cette particularité sur un troyen, Burglar.A (selon l'appelation Panda Software) qui ciblait les internautes australiens par l'intermédiaire d'une campagne de spams annonçant l'attaque cardiaque du Premier Ministre, John Howard :

"Current Australia’s Prime Minister survived a hear attack
Prime Minister survived a heard attack
The life of the Prime Minister is in grave danger

Message:
SYDNEY, February 18, 2007 08:56pm (AEDT) –
The Prime Minister of Australia, John Howard have survived a heart attack. Mr Howard, 67 years old, was at Kirribilli House in Sydney, his prime residence,when he was suddenly stricken.
Mr Howard was taken to the Royal North Shore Hospital where the best surgeons of Australia are struggling for his life.
Click on the link below to get the latest information on the health of the Prime Minister:
The Australian - keeping the nation informed
John Howard was born on the 26th of July, 1939. Howard is Australia's second longest serving Prime Minister and leader of the Liberal Party in Australia.''

On souhaite un bon rétablissement à ses électeurs...

Sur un site de carding russophone, un groupe de codeurs faisait fin décembre 2006 la promotion d’un « nouveau » troyen bâptisé Apophis :

<<Cher Messieurs cardeurs,

Je tiens à vous présenter le cheval de Troie Apophis et les modules associés. En bref :
Le kit Apophis est constitué par deux éléments principaux : le cheval de Troie et son système d’administration avancé. Le troyen bénéficie d’une structure modulable, avec un noyau principal permettant de contaminer la machine. La partie fonctionnelle du troyen est constituée par les modules additionnels.

Le système d’administration distante est développé en PHP, et permet de :

- contrôler les machines contaminées appartenant à votre botnet ;
- rajouter des modules ;
- trier les logs ;
- attribuer des taches particulières à des machines concrètes.

Comment ça marche :
Vous installez le système d’aministration sur un serveur et effectuez le paramétrage de base suivant les instructions reçues. Ensuite vous faites contaminer les machines distantes et commencez à recevoir les informations qui vous intéressent : logs, données des fakes (NDLR : données de phishing), certificats etc.

Le reste, on l’a fait pour vous !>>

Vendu de 25 à 1200$ selon les fonctionnalités souhaitées, l’activité principale de ce malware donc consiste bien sûr à voler les identifiants bancaires des victimes.

Nous avons pu récemment accéder à la console d’administration à distance de ce troyen. Celle-ci permet d’afficher/de modifier les modules souscrits, d'effectuer diverses commandes, de parser les logs, de présenter les statistiques d’infection en temps réel, etc... 3500 postes environ étaient, au moment de la rédaction de cet article, touchées par ce troyen.

Des fausses pages de plus de 50 banques (américaine, australienne, italienne, anglaise, espagnole ou encore française) étaient configurées pour être injectées dans le navigateur (technique du pharming).

Rien de réellement novateur dans ces "outils à pirates". Mais il est intéressant de noter qu’un keylogger datant de 2001 environ disposait déjà du nom « Apophis Spy ». Il semble d'ailleurs que celui-ci ait pu avoir une origine française selon plusieurs éditeurs AV.

Apophis, dieu des forces mauvaises et de la nuit, personnification du chaos, du mal cherchant à anéantir la création divine dans la mythologie égyptienne, est représenté sous la forme d'un serpent gigantesque qui s'attaque quotidiennement à la barque de dieu Rê, afin de mettre fin au processus de la création. Mais il est chaque fois vaincu. Chaque lever du soleil marquait ainsi la victoire de Rê sur Apophis.

Un signe encourageant, non ?

Yesterday night, VirusList (a newsletter run by Kaspersky) quoted an article from the turkish website Sabah that seemed to be really interesting : Russian connection in Turkish cybercrime investigation.

The article detailed a bunch of arrests conducted in Turkey: 17 people that siphoned between 300 and 500k$ in a few weeks from various banking accounts.

Investigations and arrests have been conducted by the Izmir Organized Crime Bureau. Who??? Never heard of them, but the article explains how this obscure taskforce has been able to obtain the identities of the thieves : well, the pirates logged to the banking website with their real IP addresses... Sometimes you are very lucky with your investigations, right?

According to the article, stolen banking credentials have been provided by three russian hackers that requested a 10% commission from the turkish withdrawals.
I first thought this was the same journalist mellow such as with Nordea (I blogged on this a few days back), but some details are confusing:

The police found computer equipment, fake passports, credit cards and unregistered weapons at what is believed to have been the headquarters of the -turkish- gang.

With unregistered weapons, these are not the usual turkish defacers, neither the traditional cybercrime groups. Better sounds like the brazilian cybercrime scene, where we sometimes find a hacker full of bullets.

We have observed a sustained growth of banking cybercrime by turkish pirates for the last few months. I'll put that in my PowerPoint presentations.

Great news this morning: Shawn Carpenter won against Sandia in Court.

Who? What?

Let me give you the background story: Carpenter was a security engineer, a former Navy guy, working for Sandia National Laboratories (R&D division of the Department of Energy). In 2004, while investigating security breaches within the Sandia's network, he found evidence of hacker access attempts. As a loyal employee he asked his superiors for a clearance to investigate these cases. The superiors denied investigations.

Why the hack did they refuse investigating of the hacking attempts to their sensitive network? A mystery it remains.

Shawn Carpenter contacted the Army Counter-Intelligence Group that linked him with the FBI, the latter asking Carpenter to follow up on his investigations. That is how the security engineer traced back the attacks to an chinese edge router.

What he uncovered was the so-called "Titan Rain" operation: a 2-years-long massive operation of cyber-espionage targetting corporate, R&D and defense information systems, most probably sponsored by the Chinese government. The detailed description of the case (pdf) by "Time" in 2005 leaves no doubt as to the operation's scope and the Chinese government implication in it.

When Sandia discovered that Carpenter was still investigating the online thefts and, what is more, shared his findings with the FBI and the Army, they did what? Right, they fired him.

The employee went to Court and won against his former employer a handful of dollars, 4.3m$ to be precise. The jury gave him twice the amount he requested and complimented Sandia in the following terms: "malicious, willful, reckless, wanton, fraudulent or in bad faith".

Shawn Carpenter now has his own wikipedia entry, and 4.3m$ for buying as many routers and proxies as he needs.

Les sites forumpatriote.com et veritesurlefn.org ont été piratés par un hacktiviste français se faisant malicieusement appeler "la solution hackeuse".

L'image insérée sur les sites par le défaceur est hébergée sur Hiboox :

Si ce type de piratage à vocation politique n'est pas du tout nouveau (Cf. notamment lors de la crise des caricatures danoises de Mahomet), il est à craindre d'ici le 1er tour de l'élection présidentielle une augmentation sensible de ces malveillances en France. Surtout que Stefan Esser a annoncé pour mars un Mois des Failles PHP, language utilisé par de très nombreux sites.

Hier, à l'occasion de la Saint-valentin, un autre défacement par un individu Français était quant à lui plus "léger" :

Nous rappelons cependant que toute intrusion sur un site Web, même pour déclarer sa flamme, constitue un délit pouvant valoir 3 ans d'emprisonnement.

Nous avons identifié un site web plutôt rigolo, ciblant les amateurs d'argent facile.

Les gentils détenteurs du site proposent des cartes bancaires avec leurs codes PINs respectifs.

Pour traduire en langage commun, il s'agit de vendre de l'argent réel en dessous de sa valeur nominative. Car une carte bancaire avec son code PIN - tout le monde sait quoi en faire.

S'agit-il d'une action promotionnelle du groupe Emmaüs-C@rd1ng?

Et bien, non. Ceci est un cas typique de fraude, si couramment rencontrée au sein même des communautés de cyberdélinquants, tels que cardeurs, scammeurs, hackers black-hat et autres "amis_du_ouaib".

Le site appartient sans doute à des "rippers", cherchant à vendre du "trop_beau_pour_être_vrai" à des internautes naïfs mais avides - paiement par Western Union SVP.

Ce qui est plutôt étonnant dans le cas actuel c'est la durée de vie du site - en ligne depuis fin décembre 2006.

Formidable Saint-Valentin, journée débordante d'amour avec un léger zest commercial...
"A Valentine Love Song" ou "For My Valentine" pourraient constituer l'objet de courriers peuplant votre boîte aux lettres électronique.
Bien évidemment, ces courriers sont spammés massivement avec, en cadeau, une copie du malware Tibs (ou StormWorm).
Il est bien sûr, plus que recommandé de faire preuve de vigilance face aux courriers électroniques non "sollicités".
Orné d'un fichier joint d'extension ".exe', ce courrier mal-intentionné n'est toutefois pas très discret et devrait être filtré par votre passerelle de messagerie.

Le spam de malware lors d'évènement majeurs (Super Bowl (et oui!), Nouvelle année, ...) est aujourd'hui une véritable coutume dont nous nous passerions volontiers.

Attention donc aux déclarations d'amour par courrier électronique qui pourraient bien enflammer le coeur de votre machine !

Trouvé via les chasseurs de scams, AA419, une campagne de mailing supplémentaire tentant d'escroquer les internautes mais dans un style plutôt...direct. Jugez plutôt :

Hello Friend,

How are you Friend ?Hope you are fine with your family? Please kindly try to understand my own feeling on this transaction with all i have invested it must not just die like that so we must have a very good gain in this transaction.

Believe me honest if you can give me this infomation i will suprise you with money and am going to pay all out unstanding payment on your transaction to get money transfer to you.

I want you to fill in the information immediately i will wire money to you through my investors in American.

I need this information to send money to you for the clearance and any other outstanding bill for you.please.

I need you to send me this information as soon as possible.

Your full name.............................................................

Your telephone number..................................................

The name of your credit card..................................

Your credit card number...............................................

The last three digit behind the card......................................

Bank phone number..........................................................

Name of bank.............................................................

Also your full banking information.

This is very important and urgent please.

God bless you and the family.

Best Regards, Mr.Charles Martins

Il suffit de demander !

Pour rester dans la famille des scammeurs qui ne doutent de rien, nous avons également détecté le site Web d'une fausse banque, la Islamic Bank of Irak, qui affiche la mention "as advertised on TV" sur la page d'accueil. Un vrai gage de confiance !

** Mise à jour, 14/02/2007 : Il fallait lire "Pré-notification des bulletins de sécurité Microsoft de Février" au lieu du mois de Mars, vous aurez corrigé de vous même

La pré-notification du "Black Tuesday" de Février est en ligne. Pas moins de douze bulletins de sécurité, contenant chacun une ou plusieurs vulnérabilités comme il est de coutume. Espèrons que les vulnérabilités non corrigées sur Office seront enfin colmatées.

Petite surprise, un des bulletins cible OneCare, la solution sécurité de Microsoft, et contient au moins une vulnérabilité critique. Ceci fait un peu désordre suite au mauvais résultats de l'outil mis en exergue par le test VB100 de Virus Bulletin.

Une petite pensée pour le service de Veille Technologique Sécurité du CERT-LEXSI qui aura sans nul doute une journée chargée lors de la publication des bulletins !

Voici une phrase que les administrateurs du monde entier auraient pu entendre ... plus que d'habitude

Si le phénomène fût quasi-invisible pour l'utilisateur, une attaque massive a bien été menée contre nos chers serveurs DNS racines (root DNS).
Cette attaque par déni de service a eu raison d'au moins trois de ces serveurs. Il semble que UltraDNS, assurant la gestion des domaines en ".org" ait été particulièrement ciblée.

Notons toutefois que l'impact global a été faible, en particulier grâce à la redondance mise en place sur ce type de machine.

Même si l'exploitation des botnets est aujourd'hui un sport international, certains rapports laissent penser qu'une grande partie des requêtes ont été émises depuis la Corée du Sud. Gardons nous d'en tirer une quelconque conclusion, ceci est surement le fruit du hasard ... ou pas.

Les graphiques de la charge des serveurs permettent de comprendre l'ampleur de l'attaque.

Dans l'émission Planète Entreprise, présenté par Jean-Marie Coat sur Radio France Internationale, Nicolas Woihraye du CERT-LEXSI intervient sur les nouvelles tendances de la cybercriminalité pouvant nuire aux entreprises

L’interview en ligne sur le site de RFI ou en podcast audio sur notre blog.

Just a quicky to applause to the new dashboard released by our friends from Arbor Networks.

Bookmark this: http://atlas.arbor.net/

just great.

Update:

Un nouveau site de recrutement de mules du même type a été identifié à l'adresse: http://animalreserve.net. L'offre d'emploi pour un "responsable des transferts" est insérée entre deux offres pouvant paraître légitimes.

Après des faux sites consacrés à l'aide aux enfants ("www.childrenneedhelp.org", "www.tohelpchildren.com"...), des domaines mettant en scène des animaux sont également utilisés dans des campagnes toujours plus professionnelles de recrutement de mules . Il y de cela quelques semaines le domaine divewithsharks.biz, déposé via un service de Whois anonyme, hébergeait plusieurs sites de phishing ciblant des banques étrangères.

Aujourd’hui, un faux site mis en ligne sert à ce gang de vitrine pour recruter des « mules » (spécifiquement australiennes), afin de virer frauduleusement les fonds dérobés.

From: Andrew Malkovich <Martin @ wanadoo.fr>

Date: Feb 1, 2007 4:39 AM

Subject: Underworking with Good Salary

Hello,

We hope you are reading this message in a fine mood. I'd like to welcome you on a very interesting opportunity. We supppose you will be very interested in a home job in which you could get about AUD4000 per month.(…) Please fill our application form. No fees are asked, just leave your contact details: mail@divewithsharks.biz We will contact you soon. Thank you!

Une copie du site existe à l’adresse www.sharksdiving.cd (A noter que ce domaine, enregistré en usurpant l’identité d’un citoyen américain, possède une extension géographique de la République démocratique du Congo!)

“Dive with sharksâ€?, “Sharks divingâ€?… Ces appellations devraient d'ailleurs mettre la puce à l’oreille des plus naïfs. Mais les individus participant aujourd'hui à ces malveillances pour ces fraudeurs le sont-ils vraiment ?

Un des enjeux de ces prochaines années (n’est ce pas déjà le cas ?) en matière de communication dans l’entreprise sera le passage vers la téléphonie sur IP. Grâce à des faibles coûts d'exploitation et la rapidité à construire un réseau efficace, la Voip est une étape décisive.

Les cybercriminels y voient déjà un potentiel rémunérateur et commencent à s’intéresser à ces plateformes pour y diffuser de manière quasi-anonyme et à faible cout du spam audio de publicités pré-enregistrées (et les variantes que l’on peu imaginer avec la Visiophonie). C’est ce que l’on appelle le Spit ("Spam Over Internet Telephony").

La société japonaise Nec présentera lors du prochain 3Gsm World Congress à Barcelone son nouvel outil Voip SEAL, qui permettra selon leurs tests de bloquer près de 99 % des appels indésirables.

Pour cela, la solution proposée utilise un test de Turning visant à détecter la légitimité des appels pirates, dans le cas ou ces derniers sont considérés comme indésirables, ceux-ci sont alors détectés, et bloqués.

L’ensemble de l’architecture est basée sur des modules permettant de faire évoluer rapidement leurs plateformes selon les besoins et les nouvelles techniques employés par les spammers.

Cette technologie pourra-t-elle vraiment contourner l’ingéniosité des malveillances téléphonique ? L'avenir le dira.

It seems one of our kindly friends in Russia has blown some fuses.
Apart from conducting multiple phishing attacks targeted US banks, he just configured a trojan-based phishing attack on a the Russian subsidiary of Citibank:

Why is that so crazy? Hey because he lives in Russia. In the middle of its phishing spree he forgot the major rule of cybercrime business: don't target banks in your jurisdiction.
In the past we've seen some Romanians targeting Romanian banks (innovation likely to end in a dark prison cell). Until now we felt Russian criminals were a bit more mature.
This is a disappointing day for phishing fighters.

Note: the guy also launched the very first XML phishing page on the Ukrainian subsidiay of PrivatBank. All-time award for innovation? Unfortunatly, this is rather a misconception.
disappointing...