Spyeye C&C et Business underground

Xylitol m’a filé un accès à un C&C de Spyeye (merci!) qui, je rappelle, est un malware de type Stealer/Banker.
Ceci va vous permettre de voir que ce n’est pas un mythe et bel et bien réel. Que voler des informations est tout à fait simple, la difficulté étant de plutôt de pouvoir rentrer dans le milieux underground pour acheter le malware.

Spyeye C&C

 

Pour rappel, le C&C est le centre de control du Botnet de là où le botmaster contrôle les machines infectées.
Dans le cas de Spyeye qui est un stealer, on ne peux parle pas vraiment de contrôle mais plutôt d’un C&C qui permet de récupérer les informations qui sont volées.

 

Voici les possibilités, on peux voler des comptes FTP, des comptes BOA, des comptes de cartes bancaires, des certificats et des emails.

 

Spyeye - Control Center

ici on peux lister les bots avec les processus hookés pour récupérer des informations volées.

Spyeye - Control Center

Les infos sur la version de Spyeye qui est installé sur la machine, l’IP de la victime, la version de l’OS etc..

Spyeye - Control Center

Ici une authentification Facebook, avec le cookie, le mail, le user etc..

Spyeye - Control Center

Spyeye - Control Center

Des exemples de comptes FTP volés..

Spyeye - Control Center

Spyeye - Control Center

On peux aussi faire des captures. les captures sont faites normalement sur les sites de banques pour les protections anti-keylogger etc, ça peux permettre de récupérer ce qui est affiché à l’écran..
Ici un Italien qui cherche des rencontres…

Spyeye - Control Center

Spyeye - Control Center

Spyeye - Control Center

Les statistiques sur les sites visés, on voit que beaucoup de comptes Facebook sont volés, mais aussi de mails (Gmail, Hotmail etc) et de jeux en ligne

Spyeye - Control Center

Business underground

Pour rappel, j’avais fait ce topic Business malwares : le Pourquoi des infections qui dresse un rapide tour du business underground (vente de malware, affiliation etc).

Sur le blog de  Xylitol http://xylibox.blogspot.com/, on trouve quelques posts qui présente divers services liés à l’underground, comme par exemple :
Ici un service  d’Antivirus Tester qui permet de tester ses droppers ou son exploit pack contre les AV et vérifier la non détection :  http://xylibox.blogspot.com/2011/08/tracking-cyber-crime-virtest-and-palevo.html

Les services de programmes d’affiliations des rogues  où l’on peux télécharger des derniers droppers avec un système de scan; obtenir du support etc… et connaître combien la diffusion de notre campagne de rogue rapporte :
http://xylibox.blogspot.com/2011/06/tracking-cyber-crime-inside-fakeav.html
http://xylibox.blogspot.com/2011/08/tracking-cyber-crime-bestav-and.html

Ici un service pour créer des faux installeurs d’applications qui demandent d’envoyer un SMS :
http://xylibox.blogspot.com/2011/07/tracking-cyber-crime-zip-archive.html

Ici un service qui permet de créer de faux site de Viagra, cigarette pour diffuser pour des campagnes de SPAM par mail :
http://xylibox.blogspot.com/2011/07/tracking-cyber-crime-pharmincome-and.html

Le programme d’affiliation du malware Cycbot – vous pouvez télécharger des droppers pour le malware, voir le taux de détection et voir combien votre campagne pour ce malware vous rapporte :
http://xylibox.blogspot.com/2011/07/tracking-cyber-crime-ready-to-ride-v3.html

Un autre programme d’affiliation Sereva avec le malware _ex-68.exe qui installait aussi un Win32/Kelihos.B :  http://xylibox.blogspot.com/2011/06/tracking-cyber-crime-severa.html
J’en avais parlé quand les campagnes battaient leurs pleins : http://www.malekal.com/2011/03/24/retour-de-bredolab-et-kelihos/

Un aperçu aussi de l’exploit pack BlackHole avec les informations par machines où le malware a réussi à s’installer (version de l’OS, du navigateur, l’exploit qui fonctionne le mieux etc) : http://xylibox.blogspot.com/2011/06/overview-of-blackhole-exploit-kit-v110.html

Comme vous pouvez le voir, et comme le répète souvent les éditeurs de sécurité, on a bien une professionnalisation de l’underground qui via les programmes d’affiliations permet de séparer les auteurs de malwares, de leurs diffusions  et multiplier donc le nombre de machines impactées.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 66 times, 1 visits today)

6 thoughts on “Spyeye C&C et Business underground

  1. Salut !
    L’image avec le cookie facebook contient encore le mail et le mot de passe de la personne (tu as oublié de flouter une petite partie : 6eme ligne en partant du bas)

    C’est avec ce genre de chose que l’on s’aperçoit qu’il est réellement facile pour quelqu’un qui le veut, de s’introduire n’importe ou…

  2. Que Xylotol ai pu reversé le malware c’est bien joué, mais comment il a eu accès à l’interface d’administration?

    Ya une faille dans les scripts webs?

    D’après ce que je vois, quand on reverse des web bots ou stealer+partie PHP, la seule chose que l’on peut faire c’est avoir l’url du C&C quand le malware balance les infos.. Les mdp c’était admin / 1234 ou quoi? 🙂

  3. The oil acts on all the internal blood vselses and tissues in the organto enhance its function like never before.Is it really true you can reverse impotence naturally if you are 65 decades old.Doctors can help cure erectile dysfunction by injection erection stimulating medicine on the baseof the penis.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *