« TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »

Merci à SecuBox Labs, S!Ri et XyliBox

Dans le billet Malvertising : asrvstatsmanager.com droppe malware via videobb et adserve.com
Je parlais de rotator dont voici la capture.

 Une partie des exploits Blackhole qui mènent à l’installation de rançongiciels tels que « Virus Gendarmerie » utilisent des « TDS » ( Traffic Direction Systems ) et dans le cas observé celui-ci se nomme « SUTRA » : un gestionnaire avancé de redirections qui offre de multiples fonctionnalités aux webmestres.

C’est un outil connu pour être rapide à déployer, simple à utiliser et très performant – les cybercriminels l’ont bien compris ! Une fois les systèmes d’affiliations en place, la monétisation du traffic peut débuter. En fonction de la demande des affiliés, l’opérateur du système Sutra va spécifier de nouvelles destinations vers des codes malveillants ( exploits ) et pourra si necessaire configurer de nombreuses options.

Par exemple fournir des programmes malveillants différents en fonction du navigateur ou bien du pays dans lequel se trouvera le visiteur malchanceux.

Les redirections Sutra sont de la forme http://nomdedomaine/in.cgi?n°

Dans le jargon, on nomme la redirection « rotator » sont des aiguilleurs qui permettent d’effectuer des statistiques.

Ci-dessous, observons celle du cas « Virus Gendarmerie« .
Ci-dessous les ID (colonnes scheme) avec les URL par défaut.

Il est ensuite possible d’appliquer des règles aux différents ID.
Ici on peux voir les URLs de destinations différentes selon le pays (GB, AU, FR) etc, ce qui permet de rediriger l’internaute vers une infection différentes selon le pays source, le referrer etc.

Ci-dessous, les URLs avec les longs paramètres conduisent à des exploits sur site WEB via BlackHole

ainsi de suite pour chaque ID :

On retrouve les URL selon l’ID avec un HTTP 302 Move :

Le mode édition permet de manipuler les règles.
Exemple: si le visiteur utilise un proxy, un referrer, tel navigateur,… et même en fonction des horaires !

Du côté des stats de notre infection qui fait bien mal ces derniers jours, cette dernière se propageant par des Malvertising sur les sites de streaming entre autre.
Les statistiques globales avec le détail par jour :


 On voit que pour la journée d’hier, 132k internautes sont passés sur le rotator, ce qui est pas mal.

Le détail de la journée du 13/12/2011 heure par heure.
Le pic à 20h et 21h, on regarde les films en mangeant ? 😉Et le traffic en détail.
On voit les refferer et les urls provenant des malvertising. Pas mal de sites hackés ou pornographiques ensuite.
On peux voir que la France est en tête avec 64k internautes et 30k pour la Grande Bretagne.Maintenant un peu de comptes.

64k Français qui sont passés sur le rotator, admettons que l’exploit sur site WEB a un rendement de 10%, ça fait 6400 personnes infectées.
Admettons que 1% des internautes aient payés la soit disante amende à 200 euros, cela nous donnet 64 * 200 = 12 800 euros juste avec les français et en une seule journée !

 

EDIT :

Pour donner une mise à jour des statistiques du TDS.

19/12/2011 : chute des contacts du TDSS et drop de l’infection par le malware ZeroAccess
=> http://www.malekal.com/2011/12/19/zeroaccess-droppe-le-virus-gendarme/

 

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 66 times, 1 visits today)

2 thoughts on “« TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »

  1. Merci super billet, bonne description il n’y en a pas assez des site qui décrive comme ça les cyberactes criminel.
    niveaux technique c’est parfait.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *