1,5 million de PC zombis sous Windows infectés par un trojan horse

Trois pirates néerlandais ont infecté 1,5 millions de PC sous Windows avec un trojan horse (cheval de Troie) pour dérober les mots de passe d’accès aux comptes bancaires, Ebay ou PayPal des particuliers victimes, et voler leur argent. La coopération entre les FAI, la police et des professionnels en sécurité informatique ont permis leur arrestation.

L’arrestation des pirates

En octobre dernier la police néerlandaise a arrêté trois pirates masculins agés de 19, 22 et 27 ans. Le groupe, dirigé par le plus jeune d’entre eux, a été présenté au juge d’instruction. Le plus agé a été relaché et d’autres arrestations sont prévues par l’enquête en cours. Leurs noms n’ont pas été révélés.

Lors des perquisitions au domicile des pirates, la police a saisi des ordinateurs, des sommes en argent liquide non précisées, une voiture de sport et plusieurs comptes bancaires.

L’existence du réseau de zombis a été identifié à l’origine par le fournisseur d’accès à Internet néerlandais XS4ALL. Après avoir détecté une activité inhabituelle venant d’un certain nombre de PC de leurs abonnés, ils ont alerté les autorités.

Les enquêteurs de la police ont travaillé avec des experts en sécurité informatique, le Dutch National High Tech Crime Center et le CERT néerlandais, et plusieurs FAI pour remonter à la source du réseau de zombis. Ils ont installé des logiciels espions sur les PC des suspects et ont pu ainsi identifier formellement les pirates. Le réseau de zombis sous Windows a aussi été démantelé : évalué à 100.000 machines dans le monde entier au départ, il est en fait 15 fois plus vaste, dont 30.000 environ situés aux Pays-Bas.

Le piratage

Les pirates sont accusés :

  • d’avoir utilisé le trojan horse (cheval de Troie) W32.Toxbot (alias Codbot) pour infecter 1,5 million de PC sous Windows, de particuliers pour l’essentiel, et ainsi y installer des spyware et adware; les actions effectuées sur le PC zombi, utilisé comme un relai par exemple, sont invisibles pour la victime
  • d’avoir menacé une société des USA, dont l’identité n’a pas été dévoilée, d’une attaque par DOS contre une rançon; ils avaient l’intention d’utiliser des milliers de machines infectées pour envoyer des flots énormes de requêtes vers le site Web cible, et ainsi provoquer sa mise hors service pendant la durée de l’attaque
  • d’utiliser des techniques de phishing pour voler des mots de passe de comptes Ebay et PayPal sur les ordinateurs infectés; ils ont utilisé ces comptes pour faire leurs achats sur Internet
  • d’avoir créé des virus pour d’autres, qui en retour leur fournissaient des keylogger pour intercepter les mots de passe des comptes bancaires des victimes.

Le trojan horse W32.Toxbot alias Codbot

Ce trojan horse (troyen) est apparu en février dernier et a évolué de nombreuses fois pour contourner les mises à jour des antivirus. A chaque fois que les antivirus parvenaient à détecter la dernière version de W32.Toxbot, les pirates en créaient une nouvelle pour ne plus être bloqué par les antivirus et ainsi continuer à infecter de nouveaux PC.

La nouvelle tendance du piratage

Cela confirme la nouvelle tendance du piratage, dont le but est de voler de l’argent à des particuliers, en volant leurs mots de passe par phishing et keylogger, et à des sociétés, par menace de DOS contre rançon.

Un autre malware s’est répandu cette année, qui cryptait les données sur l’ordinateur de la victime et lui imposait de payer une rançon pour pouvoir les rendre à nouveau utilisables.