Arrestation d’un cybercriminel lié à des malvertising et virus police

Une actualité provenant outre Manche concernant la cybercriminalité qui va probablement passer inaperçu.
En effet, la National Crime Agency (NCA), un organisme national chargé de l’application de la loi au Royaume-Uni informe de l’arrestation d’un cybercriminel.

Ce dernier a opéré entre 2012 et 2014 et a pu infecter des milliers d’ordinateurs par l’utilisation de publicités malveillantes (malvertising). Cela afin de charger le trojan Reveton, un virus police.

A l’époque, Malekal.com a suivi ces activités de près dont voici quelques informations supplémentaires.
Cet article récapitule tout l’historique, c’est long mais je pense que ça peut être assez passionnant.

Arrestation d'un cybercriminel lié à des malvertising et Virus police
Arrestation d’un cybercriminel lié à des malvertising et Virus police

Introduction

Avant d’entrer dans le vif du sujet, une grande partie de l’article va évoquer les menaces et malwares de cette époque 2013/2014.
Le but est de bien comprendre l’écosystème des menaces au moment où ce cybercriminel a opéré.

Malvertising & Reveton

Les trojan winlocker ou virus police

Pour planter le décor, il faut revenir quelques années en arrière et notamment autour de 2014.
Bien avant, l’arrivée des crypto-ransomwares, d’autres menaces pesaient sur les internautes.
Il s’agissait de Trojan Winlocker, une autre forme de ransomware qui bloquait l’accès à l’ordinateur.
Ces derniers se faisaient passer pour les autorités et demander à faire payer une amende pour des délits de pédopornographies.

Les trojan winlocker ou virus police
Les trojan winlocker ou virus police

Le fait que les pages de blocages se fassent passer par les autorités de Police ou Gendarmerie ont vite donner un nom à ces menaces informatiques : Les virus Police ou virus gendarmerie.

Comme pour les crypto-ransomwares, au départ, beaucoup de variantes et familles différentes ont été créées.
Les différents groupes ont vite tenter de faire de l’argent rapidement : Urausy, Gema, Reveton, Kovter, etc
Les groupes de cybercriminels se sont donc livrés une bataille entre eux pour infecter le plus d’ordinateurs possibles et maximiser leurs revenus.
Puis certaines familles de trojan winlocker ont disparu au fil du temps et seules les mieux organiser ont pu perdurer..

Bien entendu certaines variantes étaient assez mal réalisées comme le montre cet exemple.
Tout dépend le temps et l’argent investit au départ.

Les trojan winlocker ou virus police
Les trojan winlocker ou virus police

Vous trouverez différents exemples de page de blocage des virus police et gendarmerie sur la page : Trojan.Winlock / Trojan.Ransomware : Virus Police

Le ransomware Reveton

Le cybercriminel arrêté par les autorités britanniques était un traffer.
Son boulot consistait à être à l’origine de l’installation des trojans sur les ordinateurs des victimes.
Essentiellement, le trojan Winlocker au bout du compte était Reveton.

Vous trouverez des vestiges d’anciens articles concernant le Trojan Reveton sur le site :

Trojan Reveton : Votre ordinateur est bloqué
Trojan Reveton : Votre ordinateur est bloqué

Ce dernier n’est pas à l’origine du malware, son boulot et seul boulot consiste à infecter un maximum d’ordinateurs.
On parle alors de « traffer » car pour se faire, il doit détourner un maximum de trafic légitime vers du contenu malveillant.
Pour cela, il a utilisé des malvertising (voir paragraphe suivant).

Cela a permis à Reveton et à ce cybercriminel de gagner un maximum d’argent et ainsi de perfectionner ce Trojan au fil du temps.
En 2014, ce malware était donc l’un des plus actifs et plus perfectionnés.
Les pages de blocage existaient sous toutes les langues avec les logos des différentes autorités de chaque pays.
Une variante incluant des vols de données (mots de passe, etc) avaient même été créés.

Le blocage de Windows était même actif en mode sans échec.

Les malvertising

Afin d’infecter un maximum d’ordinateurs, une nouvelle méthode d’infection avait été utilisée : les malvertising ou publicités malveillantes.

Je détaille les aspects techniques pour ceux que cela intéresse.
Cela peut paraître compliqué mais il faut juste bien comprendre le principale générale.

L’idée ici est de proposer de fausses publicités à des régies publicitaires, ces derniers vont alors rediriger de manière transparente et automatiquement le visiteur vers un malware.

Aspects techniques

Ces publicités malveillantes servent à rediriger les internautes vers des WEB ExploitKit afin d’infecter les ordinateurs des victimes.
On parle alors d’infection par Drive by Download.

Les mots peuvent faire peur mais en réalité, cela est très simple.

  • Lorsqu’un internaute arrive sur un site WEB, il va charger les publicités qui s’y trouvent
  • Certaines de ces publicités sont mis en place par des cybercriminels.
  • La publicité possède un code qui charge un Web ExploitKit
  • Le Web ExploitKit est une application qui va infecter l’ordinateur en tirant partie de vulnérabilités présentes dans les plugins du navigateur WEB.

Il faut bien comprendre que l’installation de l’infection se fait automatiquement sans qu’aucun clic ne soit nécessaire.

L’image suivante récapitule le schéma d’infection.

les malvertising ou publicités malveillantes.
Les malvertising ou publicités malveillantes.

A l’époque, la sécurité des navigateurs WEB étaient au degré zéro.
Ainsi, tout internaute qui possédaient un plugin Java, Adobe Flash, Reader ou autres non à jour et vulnérables étaient potentiellement une victime.

C’est surtout Flash et Java qui étaient à l’origine des infections, vous trouverez d’ailleurs d’autres explications de campagne sur la page suivante : Exploit Java toujours aussi efficace

Par la suite, les navigateurs WEB se sont mis à bloquer les plugins non à jour et vulnérables.
Cela a permis de faire baisser drastiquement le volume d’ordinateurs infectés par Drive By Download.
Cette menace reste toutefois encore utilisé, même si l’âge d’or est révolu.

Cibler les sites pornographiques

Essentiellement, les malvertising visaient des sites pornographiques, pour cela donc, il soumettait des publicités malveillantes aux régies publicitaires actifs sur ce type de sites.
Cela pour deux raisons :

La première est que l’écosystème des publicités sur ces sites diffèrent des sites grands publiques. Notamment le mode de rémunération n’est pas du tout le même (CPC, CPM,etc).
Je ne vais pas rentrer dans les détails mais ce qu’il faut retenir c’est que seules quelques régies spécifiques opérées sur ce sites.
Certaines de ces régies étaient aussi actives sur les sites ne respectant pas les droits d’auteurs : sites de téléchargement, cracks, sites de streaming illégaux, etc.

La seconde raison est psychologique et liée au Virus Police en lui même. En effet, l’impact de ce type de Trojan est décuplé après la visite d’un site pornographique.
Imaginez, vous vous rendez sur un site pornographique et quelques minutes après, une page de la police vous informe que vous avez enfreint la loi en tentant de jouer sur la culpabilité.
Ainsi l’impact psychologique de ces attaques est plus important.

Du fait que ces régies étaient aussi actives sur les sites de streaming illégaux, les chances d’être infectés étaient loin d’être nul :Piratebay touché par la malvertising clicksor et le virus gendarmerie
Certains de ces trojan Winlocker comme Gema jouait d’ailleurs sur le téléchargement illégal.
Gema étant l’équivalent de la Sacem en Allemagne, oui parce que l’auteur de ce ransomware était allemand.
D’ailleurs pour se faire, ce dernier ciblait la régie publicitaire adf.ly active sur ce type de sites.

Trojan Gema et faux message de la Sacem
Trojan Gema et faux message de la Sacem

Initialement, fin 2011 c’était le player vidéo videobb qui étaient très vecteur, d’ailleurs, cela poussait des scarewares encore à l’époque.
Lorsque les internautes le soir vers 20h lancés un film en streaming, c’était l’orgie pour les cybercriminels.

Un peu de volumétrie

Les publicités malveillantes permettaient de rediriger des milliers d’ordinateurs par jour vers des WebExploits Kit.
La page suivante donne un aperçu sur une seule campagne ou 20 000 ordinateurs par jour se voyait rediriger : « TDS » ( Traffic Direction Systems ) du « Virus Gendarmerie »

volumétrie du trafic liés au virus police

A l’époque, le WebExploit Kit BlackHole était le plus utilisé.
Son taux d’infection était d’environ 20%, il ne reste plus qu’à calculer rien que pour cette campagne, combien d’ordinateurs infectés, cela pouvait donner par jour.
Enfin, si 10% paye la fausse amende à 200 euros, je vous laisse imaginer combien cela pouvait rapporter.

Vous trouverez d’autres détails et exemples d’infrastructures de campagne du Trojan Reveton sur la page suivante : https://krebsonsecurity.com/2012/08/inside-a-reveton-ransomware-operation/

Les chiffres assez impressionnant ont commencé à motiver les autorités où d’ailleurs les premières arrestations de cybercriminels ont débuté.
Ce fut d’ailleurs à l’époque une lueur d’espoir, car pour ceux qui suivaient le monde des malwares, l’impunité des acteurs et l’inertie des autorités étaient vraiment désespérant.

Le cybercriminel K!NG

Maintenant que vous avez un aperçu du contexte, voici les deux actualités mentionnées initialement sur ce cybercriminel K!NG.
Ces derniers sont en anglais mais vous pouvez utiliser un traducteur automatique.

Dans ces dernières, on apprend que le cybercriminel qui vivait en Grande-Bretagne sous le pseudo K!NG (mais aussi Wiz_money) a été arrêté en 2014.
Comme je l’ai expliqué précédemment, son rôle était de rediriger les internautes vers du contenu malveillant afin de charger notamment le malware Reveton.
Pour se faire, il montait de fausses entreprises en Angleterre parfois à l’aide de faux documents pour proposer des malvertising aux régies publicitaires.
Plus elles paraissaient vrais, mieux le piège était efficace.

D’après l’article, il a pu empocher environ 700 000 livres.
Enfin il était sans emploi et son argent a été dépensé en partie dans des hôtels de luxes, prostituées, jeux d’argent, drogues et articles de luxe comme des rolexs.

L’article indique qu’il redirigeait le traffic vers l’ExploitKit Angler EK.
Ce n’est pas tout à fait exact, il s’agissait plutôt de BlackHole.
Angler EK a pris le relai de BlackHole après l’arrestation de son autour mi-2014 au même moment que K!NG. Les deux arrestations n’ont aucun rapport.
Vous trouverez les détails de cet Exploit Kit sur la page suivante : Angler Exploit Kit (EK) : un kit au top !

Faire retirer les malvertising

Maintenant quelques précisions sur l’historique des campagnes de malvertising et ce cybercriminel.

A l’époque, je suivais beaucoup ces malvertising et je contactais les régies publicitaires pour les faire retirer.
Parfois, je publiais sur le site où tweeté.
Il n’y a plus les pages concernant ces campagnes sur le site mais on trouve celle-ci : [en] Some words about malvertisings in adult world
Enfin du côté de Twitter, il faut remonter la timeline autour de 2014 : https://twitter.com/search?q=malvertising%20from%3Amalekal_morte&src=typd

La recherche et le retrait prenait beaucoup de temps, d’autant qu’en général, quelques minutes ou heures plus tard, une nouvelle publicités malveillantes arrivaient.
Le but est d’être en permanence présents afin que le trafic vers les ExploitKit soient en continue.

Ainsi, lorsque les domaines de ces fausses régies publicitaires étaient blacklistés sur VirusTotal, ils n’hésitaient pas à venir demander à être retirés et parfois même sous la menace.
En effet, cela nuisait à leurs business car lorsqu’il était blacklisté sur VirusTotal, les régies publicitaires retirées leurs publicités et ne voulaient plus travailler avec eux.
Cela les oblige à recréer une nouvelle fausses sociétés (site WEB, etc).

Le but est de faire peur.
Par exemple, ci-dessous, la personne dit qu’elle va contacter les autorités concernant cette liste noire abusif.

Fausses régies publicitaires à l'origine de malvertising
Fausses régies publicitaires à l'origine de malvertising
Fausses régies publicitaires à l'origine de malvertising

Cela a commencé par une campagne joe-job contre mon site.
Voici la définition Wikipedia joe-jobde Wikipedia.

Campagne contre malekal.com

Ainsi, cela a commencé à attirer l’attention de certains acteurs et notamment de K!NG.
Aout 2013, une campagne joe job a lieu contre mon site.
Si vous ne connaissez pas ce terme, voici la définition Wikipedia.

Un joe job est une attaque perpétrée au moyen d’un courriel dans le but de nuire à la personne qui l’aurait prétendûment envoyé, en usurpant l’identité de l’expéditeur. Le contenu du courriel peut ternir la réputation du faux expéditeur ou inciter le destinataire à mener des représailles à son encontre.

Les sites suivantes en parlent dont le miens :
https://www.malekal.com/2013/08/01/email-spam-pour-malekal-com/
http://blog.dynamoo.com/2013/08/malekalcom-joe-job.html
http://blog.dynamoo.com/2013/08/malekalcom-joe-job-part-ii.html

Par la suite, des sites piratés redirigeaient du trafic vers le miens, le but était que les antivirus ajoute mon site en liste noire.
Il s’agissait à l’époque de redirection via CookieBomb, j’en parle sur cette page : [en] Reveton go now by hacked website and malicious redirection to malekal

Enfin, sur le forum underground DarkCode, il a tenté d’obtenir des informations personnelles contre paiements.

A la fin de l’année 2013, changement de tactique.

J’ai été approché pour me proposer de l’argent (20 000 euros par mois) pour faire arrêter de faire retirer ses publicités malveillantes mais de continuer de le faire pour ses concurrents.

Apparemment pour lui, je ne dénonçais que ses publicités alors que ce n’était pas le cas.

J’ai bien entendu refusé car je ne voulais pas avoir affaire avec ce business malhonnête tout en continuant à faire retirer les malvertising.

Et là, il a commencé à péter un câble ce qui a, je pense, causé en partie sa perte.

Mi Décembre 2013, plusieurs attaque DoS contre mon site à hauteur de 300 Mbps.
Comme ce n’était pas la première fois (d’autres attaques à cause d’autres histoires de malwares), j’avais à l’époque un Firewall Cisco en amont du serveur.
Cela a permis en partie de protéger le site.
De plus, OVH venait de mettre en place sa protection Anti-DoS (bon timing!).
De ce fait, ces attaques n’ont pas mis le site hors ligne.

Cela aussi en grande partie car l’attaque était majoritairement en UDP, ce qui pour un site WEB, est assez idiot.
En clair, il a acheté un botnet et cliqué sur le bouton attaque sans réfléchir à une attaque plus ciblée et intelligente.

A la suite du tweet, un mail reçu où le ton n’est pas du tout le même qu’auparavant avec en partie du chantage.

DoS et chantages

Mais c’est surtout en Janvier 2014 qu’il a aussi semé des attaques DoS sur les serveurs de certains régies publicitaires.
Le but est de les faire chanter en leur ordonnant de ne plus retirer ses publicités malveillantes.

Ainsi, on trouve quelques vestiges de ses prouesses sur le site GFY.com.
Ce dernier permet aux webmaster ou acteurs pornographiques de faire des affaires : échanger du trafic entre site pornographiques, vendre, proposer des shoot de photos, vendre du contenu pornographique, etc.
Lorsqu’une fausse régie publicitaires étaient montée, très souvent, une annonce était faites sur ce type de sites afin de proposer des publicités sur des petits sites pornographiques.
Au bout d’un certains volume de trafic, la fausse régie pouvait contacter des régies publicitaires plus importantes pour proposer leurs fausses publicités.
Le but était de tenir le discours suivant : « regardez nous sommes une régie publicitaires sérieuse avec ce trafic, laissez-nous proposer nos publicités sur votre réseau »

Ci-dessous, une annonce suivant K!NG tombe a l’eau et certaines réponses le classent directement en arnaqueur.
En clair, certains webmaster commençaient à connaître la combine et cela marchait moins bien.

S’ensuit une discussion comme on peut le voir sur les forums et réseaux sociaux à coup de bombage de torse et de posts ironiques.

Au final, sur ce même topic, K!NG ne se cache même plus sur sa réelle activité où il avoue même être à l’origine de Reveton.
Du coup sur Twitter, j’en remets une couche histoire de =)

A noter que dans la discussion, un intervenant d’Ero-Advertising, une régie publicitaire assez importantes, explique avoir subi à son tour une attaque DDoS.

Voici le lien : https://gfy.com/fucking-around-and-program-discussion/1130077-dirtymoney-biz-1-2607-46615-4-a-2.html
Je ne le mets pas cliquable car je le répète c’est un forum pour webmaster pornographique donc le contenu est pour adulte.

L’enquête par le NCA

Ces attaques DDoS et chantages ont probablement attiré l’attention des autorités britanniques qui ont commencé à vouloir chercher des informations sur ce cybercriminel.

Ainsi quelques mois après, une enquête a été lancée et plusieurs acteurs ont été contactés par le NCA.

L'enquête contre le cybercrminiel K!NG

Comme le mentionne l’article, K!NG fut arrêté en Juillet 2014 soit quelques moi après son chantage.
Le NCA confirme la date de l’arrestation par mail.

L'enquête contre le cybercrminiel K!NG

Épilogue et fin

L’article prend fin en espérant que vous avez pu avoir un aperçu des techniques et méthodes utilisées par ce cybercriminel.
Comme les actus l’indiquent, c’est un peu la crème que ce soit au niveau ds techniques utilisées et du volume d’ordinateurs touchés par ces différentes campagnes.

C’est aussi pour moi, l’occasion de clôturer une ancienne vie autour des malwares même si le site est encore vivant et toujours actif.
Je passe le bonjour aux personnes présentes durant ces années et qui sont probablement encore actifs aujourd’hui : Cerbere, S!Ri, Xylitol, Kafeine.

image_pdfimage_print
(Visité 543 fois, 1 visites ce jour)