Les Malwares et virus : pourquoi et dans quel but ?

Les malwares font parti des peurs les plus importantes chez les internautes.
Les logiciels malveillants recoupent différentes formes : Trojan, backdoor, spywares, adwares, etc.
Vous vous demandez pourquoi des personnes s’amusent à en créer ?
Pourquoi les malwares et dans quel but ?
Qui créent des virus ?

Cet article vous explique pourquoi et dans quel but certaines personnes peuvent créer des malwares.

Les Malwares : pourquoi et dans quel but ?

Les malwares et logiciels malveillants

Il existe toute sorte de logiciels malveillants mais aussi des familles de malwares spécifiques.
Les types de malwares dépendent de leurs méthodes de propagation.

Ainsi les articles suivants vous donne une liste avec les types de menaces.

Enfin pour le fonctionnement et l’historique des grandes menaces, lire cet article complet.

Les motivations des malwares

Adwares : Charger des publicités

Ces logiciels malveillant se spécialisent dans le chargement de publicité.
Ainsi Adware se traduit par logiciel publicitaire.
Une fois installé dans l’appareil, il va à intervalle régulier ouvrir des publicités.
Le propriétaire de l’adware gagne alors de l’argent sur le nombre de publicités qui s’ouvrent.
Plus son adware sera présent sur des appareils, plus de publicité s’ouvriront et donc plus d’argent au final.

Les adwares utilisent toute sorte de méthodes pour s’installer sur les appareils.
Cet article en donne les principales.

Vol de données : mot de passe, carte bancaire

Ensuite on trouve les trojans qui se spécialisent dans le vol de données.
Ces dernières cherchent à voler :

  • Les comptes WEB avec les utilisateurs et mot de passe. On peut ensuite les revendre.
  • Les informations bancaires.

Un article assez complet existe sur les trojan banker.
Ces derniers se spécialisent sur les attaques de sites bancaires et le vol d’informations bancaires.

Cela peut aller très loin.
Par exemple cette plateforme permet d’acheter une identité numérique à travers les différents vols de compte.
Ils proposent même une extension Google afin de copier l’identité numérique d’un internaute.

Revente de comptes en ligne depuis une plateforme

Crypto-jacking

Depuis quelques années, il existe des monnaies virtuelles comme le Bitcoin, Ethereum, etc
Vous pouvez miner de la monnaie à partir de votre ordinateur.
En utilisant sa puissance de calcul et en participant au fonctionnement de la monnaie, vous pouvez en générer.
L’article suivant explique ces mécanismes : Comprendre les crypto-monnaies ou monnaie virtuelle : Bitcoin, Ethereum, etc

Ainsi il existe des malwares qui peuvent utiliser à votre insu votre PC afin de générer de la crypt-monnaie.
On parle alors de Crypto-jacking.

On distingue alors les trojan miner qui s’installent dans Windows ou Linux et vont miner : Trojan BitCoin et CoinMiner : Monétisation de Botnet
Mais on peut aussi tomber sur des sites qui vont faire miner votre navigateur WEB : Les Cryptojacking : Minage de crypto-monnaie en JavaScript (JS:Miner, CoinHive, CoinBlind, etc).

Anonymisation

Enfin des cybercriminels peuvent chercher à utiliser les PC infectés pour cacher leurs activités.
Ainsi pour se connecter sur leurs infrastructures, ils vont passer par des PC infectés.
Pour cela, des malwares transforment le PC infecté en proxy ou SOCKS.
Un exemple de malware sur la page : BackDoor.Proxybox : Votre PC transformé en proxy

Un autre exemple est la reconfiguration à distance des routeurs vulnérables via UPnP. Certains fabricants de routeurs ont UPnP comme auditeur sur les interfaces WAN par défaut. UPnP permet la configuration à distance des règles de transfert dynamiques sans authentification dans le routeur. En chaînant des routeurs vulnérables, un contrôleur central peut effectuer des tunnels dynamiques sur Internet.
Plus d’informations : UPnP sur les routeurs et les risques de sécurité

Carding

Le carding est l’activité autour du vol et revente de cartes bancaires.
Il existe là aussi des spécialisations.
Notamment des malwares qui s’attaquent au points de ventes (Point-of Sales [SoS]).

Ci-dessous l’interface de gestion du logiciel malveillant GlitchPOS.
La réparation des bot actifs et inactifs dans le monde.

Le malware GlitchPOS : vol de carte bancaire

Puis la liste.

Le malware GlitchPOS : vol de carte bancaire

Et enfin les cartes bancaires volées.

Le malware GlitchPOS : vol de carte bancaire

Pour plus d’informations sur le vol de carte bancaires et le carding, il existe un article complet sur le site.

Les botnets

L’un des buts principaux des cybercriminels est de constituer des botnets.
Ce sont des réseaux d’appareils infectés et contrôlés par les pirates.
Il peut s’agir de PC en Windows ou d’équipements réseaux comme des routeurs, des caméras, etc.
On parle alors de réseaux IoT.

Le cybercriminel peut ensuite louer ce botnet ou une partie à d’autres groupes.
L’article suivant parle des malwares et des botnets.

Attaques DDoS

Un des aspects des botnet est d’effectuer des attaques DDoS.
Les motivations peuvent être diverses (politiques, économiques, etc).

On peut aller plus loin en proposant des sites WEB dits « booter » or « stresser ».
Un internaute s’y inscrit et paye pour lancer des attaques DDoS.

Ces services DDoS peuvent aussi être proposés dans des forums privés de ventes.

Service d'attaque DDoS dit Stresser ou booter
Service d'attaque DDoS dit Stresser ou booter

ClickFraud

Le botnet peuvent aussi générer des clickFraud.
Le botmaster utilise les appareils pour simuler des clics sur les publicités et gagner de l’argent de cette manière.
Le but est d’être le plus proche possible d’un navigateur WEB utilisé par un utilisateur.

Par le passé, les botnet TDSS et ZeroAccess ont générer des millions de dollars de cette manière.
Mais aussi les malwares Linux/Ebury et Linux/Cdorked.

Spam et Pourriels

Enfin il reste le traditionnel Spam et pourriels.
On loue un botnet afin d’envoyer des emails de spam marketting ou malveillant.
Par le passé des botnet comme Rustock ou Cutwail pouvaient envoyés des millions de Spam par jour.
Aujourd’hui il en existe encore tel que Necurs qui fut notamment utilisé pour des campagnes de ransomwares comme Locky.

Les groupes structurés et professionnels

Nous avons vu dans les grandes lignes les logiciels malveillants et le but.
Maintenant, nous allons évoquer les structures.

En effet, dans la tête des utilisateurs, on image, une ou deux personnes qui codent des malwares et les distribuent.
C’est tout à fait différent.
Il faut partir du principe qu’il existe des groupes qui créent et distribuent des malwares.

Le schéma suivant de Kaspersky montre un groupe classique avec quatre parties distincts :

  • Les programmes qui développent les malwares et packers pour éviter les détections par les antivirus. Cela inclue aussi les tests
  • Le groupe qui s’occupe de la diffusion des malwares
  • Les administrateurs réseaux qui maintiennent l’infrastructure informatique
  • Les mules qui eux s’occupent de récupérer l’argent en payant des personnes pour faire transiter l’argent d’un compte en banque à l’autre. En général, ces personnes sont recrutées par des campagnes de mails proposent des « job ».
Schéma de l'organisation d'un groupe cybercrime

Le mode SaS ou PPI

Enfin il existe des méthodes de diffusion comme le SaS ou PPI.
Voici les définitions de ces termes :

  • SaS (Softare As Service). Vous payez un abonnement afin d’accéder à un service. Par exemple OneDrive, Dropbox en sont.
  • PPI (Pay per install). Système d’affiliation, vous gagnez de l’argent sur le pourcentage d’installation réussie.

Typiquement, le groupe à l’origine d’un malware propose à d’autres groupes de s’inscrire à leur service SaS ou PPI.
Les autres groupes se concentrent alors sur la distribution du malware et gagnent de l’argent sur le volume.
Cela permet de décupler la vitesse pour distribuer le malware.
Tout le monde gagne de l’argent au final.

Et puis on peut voir des collaborations avec des promos.

Par exemple ci-dessous groupe spécialisé dans les packers et crypters annoncent la collaboration avec le groupe à l’origine du ransomware GrandCrab.

Annonce du ransomware Grandcrab

L’annonce propose d’acheter des packer en promotion.

Annonce de vente de packer et crypter malveillants sur un forum

Le marché et services autour des malwares

Enfin il existe tout un marché autour des activités malveillantes.
Des forums privés existent où des groupes et personnes vendent des activités.

Les services que l’on peut couramment trouver sur ces sites privés underground.

  • Distribution de Spam
  • Attaque DoS
  • Tester des malwares contre les antivirus . Il existe des services comme virustotal pour tester si un malware est détecté par les antivirus afin de le mettre à jour
  • Développement de packers ou crypters afin d’éviter la détection par signature antivirus
  • Vente d’exploit kit qui permettent les attaques Drive-By-Download
  • Vendre des serveurs dédiés bulletproof. L’abuse ferme les yeux sur les activités interdites.
  • Vendre des systèmes de traffic management. Cela permet de rediriger les internautes vers tel site malveillant selon la nationalité, heure, etc.
  • VPN pour assurer l’anonymat des groupes derrière les campagnes de malwares
  • Vente de botnets lorsque le botmaster n’a plus le temps de s’en occuper ou veut faire de l’argent
  • Black SEO. C’est à dire envoyer des liens corrompus sur les moteurs de recherche pour générer du clic

Ci-dessous la partie DoS avec les différents services de stresser ou Booster.

Un forum privé pour revendre des services malveillants

Ci-dessous, la vente d’un malware du nom de Kardon avec les prix.

Attaques aveugles et attaques ciblées

Il faut aussi distinguer les attaques.
Les groupes évoqués précédemment peuvent attaquer des pays en particulier.
Par exemple l’Europe ou les USA car plus riches.
Ainsi lors de tentative de ransomwares, ils sont plus amener à payer des sommes importantes.
Mais en général donc ces groupes distribuent des malwares à l’aveugle via des campagnes sur internet.
Le but est d’infecter un maximum d’internautes afin de gagner de l’argent.

Entreprises et services publiques

Mais il existe aussi des malwares pour des attaques plus ciblées.
Les entreprises ou services publics sont particulièrement visées.
C’est notamment le cas des attaques de ransomwares.
Par exemple les hôpitaux sont particulièrement visés.
Ainsi pendant que es lignes sont écrites, l’infrastructure informatique du CHU de Rouen est arrêté à cause d’un Ransomware.
D’autres cas en Grande-Bretagne ou USA ont déjà eu lieu.

Là aussi le but est plutôt mercantile.
En effet, les données entreprises sont très importants, elles seront donc plus à même de payer la rançon.

Cyber-guerre

Enfin il existe aussi des motivations étatiques souvent liés à des cyberguerres.
Le but est d’affaiblir un ennemi à travers l’utilisation de logiciel malveillant.
Par exemple le malware Stuxnet visait les systèmes des automates des central Iraniennes.
Ce dernier fut conçu par la NSA et Israel.

Mais durant la guerre en Ukraine qui débuta en 2014, des centrales ont aussi été visées afin de couper l’électricité.
Voici les étapes (Source Wikipedia) :

  • compromission préalable de réseaux d’entreprise utilisant des courriels de spear-phishing avec BlackEnergy;
  • saisir le SCADA sous contrôle, éteindre les sous-stations à distance;
  • désactivation / destruction des composants de l’infrastructure informatique (alimentations sans coupure, modems, unités de traitement, commutateurs);
  • destruction de fichiers stockés sur des serveurs et des postes de travail contenant le malware KillDisk;
  • attaque par déni de service sur le centre d’appels pour empêcher les consommateurs de disposer d’informations à jour sur la panne.

Mais d’autres infrastructures publiques et banques furent visées.

Et bien d’autres à venir.

Comment les malwares et virus sont distribués

Pour la distribution des malwares visant les internautes, voici un article complet.
Ce dernier vous explique les techniques utilisées.
Si vous les connaissez, vous pouvez les éviter.

Conclusion

En conclusion, dans la majorité des cas, du moins quand cela vise les internautes, le malware sont créés pour faire de l’argent.
Il existe aussi des acteurs dans l’ombre qui vendent des solutions à d’autres groupes pour mener à bien leurs malwares.
Enfin il existe aussi des attaques plus ciblées provenant d’État ou de groupe liés à ces derniers.
Ils visent en général des cibles très particulières (autres État, services publique, etc).

image_pdfimage_print
(Visité 275 fois, 1 visites ce jour)