Trois pirates néerlandais ont infecté 1,5 millions d’ordis sous Windows avec un trojan horse (cheval de Troie) pour dérober les mots de passe d’accès aux comptes bancaires, Ebay ou PayPal des particuliers victimes, et voler leur argent. Ils ont ainsi créé 1,5 millions de PC zombis. La coopération entre les FAI, la police et des professionnels en sécurité informatique ont permis leur arrestation. Cet article fait suite à : se faire voler de l’argent sur internet et pirater son ordinateur sur Internet (1/2).
L’arrestation des pirates
En octobre dernier la police néerlandaise a arrêté trois pirates masculins âgés de 19, 22 et 27 ans. Le groupe, dirigé par le plus jeune d’entre eux, a été présenté au juge d’instruction. Le plus âgé a été relâché et d’autres arrestations sont prévues par l’enquête en cours. Leurs noms n’ont pas été révélés.
Lors des perquisitions au domicile des pirates, la police a saisi des ordinateurs, des sommes en argent liquide non précisées, une voiture de sport et plusieurs comptes bancaires.
L’existence du réseau de zombis a été identifié à l’origine par le fournisseur d’accès à Internet néerlandais XS4ALL. Après avoir détecté une activité inhabituelle venant d’un certain nombre de PC de leurs abonnés, ils ont alerté les autorités.
Les enquêteurs de la police ont travaillé avec des experts en sécurité informatique, le Dutch National High Tech Crime Center et le CERT néerlandais, et plusieurs FAI pour remonter à la source du réseau de zombis. Ils ont installé des logiciels espions sur les PC des suspects et ont pu ainsi identifier formellement les pirates. Le réseau de PC zombis a aussi été démantelé : évalué à 100.000 machines dans le monde entier au départ, il est en fait 15 fois plus vaste, dont 30.000 environ situés aux Pays-Bas.
Le piratage crée des PC zombis
Les pirates sont accusés :
- d’avoir utilisé le trojan horse (cheval de Troie) W32.Toxbot (alias Codbot) pour infecter 1,5 million de PC sous Windows, de particuliers pour l’essentiel, et ainsi y installer des spyware et adware; les actions effectuées sur les PC zombis, utilisé comme un relai par exemple, sont invisibles pour la victime
- d’avoir menacé une société des USA, dont l’identité n’a pas été dévoilée, d’une attaque par DOS contre une rançon; ils avaient l’intention d’utiliser des milliers de machines infectées pour envoyer des flots énormes de requêtes vers le site Web cible, et ainsi provoquer sa mise hors service pendant la durée de l’attaque
- d’utiliser des techniques de phishing pour voler des mots de passe de comptes Ebay et PayPal sur les ordinateurs infectés; ils ont utilisé ces comptes pour faire leurs achats sur Internet
- d’avoir créé des virus pour d’autres, qui en retour leur fournissaient des keylogger pour intercepter les mots de passe des comptes bancaires des victimes.
Le trojan horse W32.Toxbot alias Codbot
L’éditeur de logiciels de sécurité qui a fait ses preuves : Économisez 40% sur Kaspersky Anti Virus - Offre limitée
Le distributeur français high-tech, culture, loisirs et maison : Soldes 50% à la FNAC
Ce trojan horse (troyen) est apparu en février dernier et a évolué de nombreuses fois pour contourner les mises à jour des antivirus. A chaque fois que les antivirus parvenaient à détecter la dernière version de W32.Toxbot, les pirates en créaient une nouvelle pour ne plus être bloqué par les antivirus et ainsi continuer à créer de nouveaux PC zombis.
Le trojan Scob vide votre compte
Souvent intégré dans un troyen (ou cheval de Troie), un keylogger permet d’espionner votre frappe au clavier. Par exemple le trojan Scob vole votre numéro de carte bancaire. Ainsi le pirate qui contrôle le troyen Scob sur votre ordi utilise ces informations financières pour vider votre compte bancaire.
La nouvelle tendance du piratage
Cela confirme la nouvelle tendance du piratage, dont le but est de voler de l’argent à des particuliers, en volant leurs mots de passe par phishing et keylogger, et à des sociétés, par menace de DOS contre rançon.
Un autre malware s’est répandu cette année, qui cryptait les données sur l’ordinateur de la victime et lui imposait de payer une rançon pour pouvoir les rendre à nouveau utilisables.
Infos supplémentaires
Comment un utilisateur infecté par Toxbot alias Codbot peut s’en sortir ? En suivant ça.