Spyeye C&C et Business underground

Xylitol m’a filé un accès à un C&C de Spyeye (merci!) qui, je rappelle, est un malware de type Stealer/Banker.
Ceci va vous permettre de voir que ce n’est pas un mythe et bel et bien réel. Que voler des informations est tout à fait simple, la difficulté étant de plutôt de pouvoir rentrer dans le milieux underground pour acheter le malware.

Spyeye C&C

Pour rappel, le C&C est le centre de control du Botnet de là où le botmaster contrôle les machines infectées.
Dans le cas de Spyeye qui est un stealer, on ne peux parle pas vraiment de contrôle mais plutôt d’un C&C qui permet de récupérer les informations qui sont volées.

Voici les possibilités, on peux voler des comptes FTP, des comptes BOA, des comptes de cartes bancaires, des certificats et des emails.

ici on peux lister les bots avec les processus hookés pour récupérer des informations volées.

Les infos sur la version de Spyeye qui est installé sur la machine, l’IP de la victime, la version de l’OS etc..

Ici une authentification Facebook, avec le cookie, le mail, le user etc..

Des exemples de comptes FTP volés..

On peux aussi faire des captures. les captures sont faites normalement sur les sites de banques pour les protections anti-keylogger etc, ça peux permettre de récupérer ce qui est affiché à l’écran..
Ici un Italien qui cherche des rencontres…

Les statistiques sur les sites visés, on voit que beaucoup de comptes Facebook sont volés, mais aussi de mails (Gmail, Hotmail etc) et de jeux en ligne

Business underground

Pour rappel, j’avais fait ce topic Business malwares : le Pourquoi des infections qui dresse un rapide tour du business underground (vente de malware, affiliation etc).

Sur le blog de  Xylitol http://xylibox.blogspot.com/, on trouve quelques posts qui présente divers services liés à l’underground, comme par exemple :
Ici un service  d’Antivirus Tester qui permet de tester ses droppers ou son exploit pack contre les AV et vérifier la non détection :  http://xylibox.blogspot.com/2011/08/tracking-cyber-crime-virtest-and-palevo.html

Les services de programmes d’affiliations des rogues  où l’on peux télécharger des derniers droppers avec un système de scan; obtenir du support etc… et connaître combien la diffusion de notre campagne de rogue rapporte :
http://xylibox.blogspot.com/2011/06/tracking-cyber-crime-inside-fakeav.html
http://xylibox.blogspot.com/2011/08/tracking-cyber-crime-bestav-and.html

Ici un service pour créer des faux installeurs d’applications qui demandent d’envoyer un SMS :
http://xylibox.blogspot.com/2011/07/tracking-cyber-crime-zip-archive.html

Ici un service qui permet de créer de faux site de Viagra, cigarette pour diffuser pour des campagnes de SPAM par mail :
http://xylibox.blogspot.com/2011/07/tracking-cyber-crime-pharmincome-and.html

Le programme d’affiliation du malware Cycbot – vous pouvez télécharger des droppers pour le malware, voir le taux de détection et voir combien votre campagne pour ce malware vous rapporte :
http://xylibox.blogspot.com/2011/07/tracking-cyber-crime-ready-to-ride-v3.html

Un autre programme d’affiliation Sereva avec le malware _ex-68.exe qui installait aussi un Win32/Kelihos.B :  http://xylibox.blogspot.com/2011/06/tracking-cyber-crime-severa.html
J’en avais parlé quand les campagnes battaient leurs pleins : https://www.malekal.com/2011/03/24/retour-de-bredolab-et-kelihos/

Un aperçu aussi de l’exploit pack BlackHole avec les informations par machines où le malware a réussi à s’installer (version de l’OS, du navigateur, l’exploit qui fonctionne le mieux etc) : http://xylibox.blogspot.com/2011/06/overview-of-blackhole-exploit-kit-v110.html

Comme vous pouvez le voir, et comme le répète souvent les éditeurs de sécurité, on a bien une professionnalisation de l’underground qui via les programmes d’affiliations permet de séparer les auteurs de malwares, de leurs diffusions  et multiplier donc le nombre de machines impactées.