La console d'administration du (nouveau?) troyen Apophis
Par Vincent HINDERER, mercredi 21 février 2007 à 14:17 :: General :: #111 :: rss
Sur un site de carding russophone, un groupe de codeurs faisait fin décembre 2006 la promotion d’un « nouveau » troyen bâptisé Apophis :
<<Cher Messieurs cardeurs,
Je tiens à vous présenter le cheval de Troie Apophis et les modules associés. En bref :
Le kit Apophis est constitué par deux éléments principaux : le cheval de Troie et son système d’administration avancé. Le troyen bénéficie d’une structure modulable, avec un noyau principal permettant de contaminer la machine. La partie fonctionnelle du troyen est constituée par les modules additionnels.Le système d’administration distante est développé en PHP, et permet de :
- contrôler les machines contaminées appartenant à votre botnet ;
- rajouter des modules ;
- trier les logs ;
- attribuer des taches particulières à des machines concrètes.Comment ça marche :
Vous installez le système d’aministration sur un serveur et effectuez le paramétrage de base suivant les instructions reçues. Ensuite vous faites contaminer les machines distantes et commencez à recevoir les informations qui vous intéressent : logs, données des fakes (NDLR : données de phishing), certificats etc.Le reste, on l’a fait pour vous !>>
Vendu de 25 à 1200$ selon les fonctionnalités souhaitées, l’activité principale de ce malware donc consiste bien sûr à voler les identifiants bancaires des victimes.
Nous avons pu récemment accéder à la console d’administration à distance de ce troyen. Celle-ci permet d’afficher/de modifier les modules souscrits, d'effectuer diverses commandes, de parser les logs, de présenter les statistiques d’infection en temps réel, etc... 3500 postes environ étaient, au moment de la rédaction de cet article, touchées par ce troyen.
Des fausses pages de plus de 50 banques (américaine, australienne, italienne, anglaise, espagnole ou encore française) étaient configurées pour être injectées dans le navigateur (technique du pharming).
Rien de réellement novateur dans ces "outils à pirates". Mais il est intéressant de noter qu’un keylogger datant de 2001 environ disposait déjà du nom « Apophis Spy ». Il semble d'ailleurs que celui-ci ait pu avoir une origine française selon plusieurs éditeurs AV.
Apophis, dieu des forces mauvaises et de la nuit, personnification du chaos, du mal cherchant à anéantir la création divine dans la mythologie égyptienne, est représenté sous la forme d'un serpent gigantesque qui s'attaque quotidiennement à la barque de dieu Rê, afin de mettre fin au processus de la création. Mais il est chaque fois vaincu. Chaque lever du soleil marquait ainsi la victoire de Rê sur Apophis.
Un signe encourageant, non ?