Connexion
Abonnez-vous

Le botnet Bamital démantelé par une opération conjointe Microsoft/Symantec

Des millions de dollars via des réseaux publicitaires parallèles

Le botnet Bamital démantelé par une opération conjointe Microsoft/Symantec

Le 07 février 2013 à 09h40

Microsoft et Symantec ont annoncé avoir démantelé un botnet nommé Bamital. L’opération menée conjointement a concerné notamment la déconnexion de deux serveurs responsables de la redirection de millions de clics vers des réseaux d’annonceurs publicitaires parallèles.

bamital

Un malware qui changeait continuellement de forme

Dans un billet explicatif sur l’un des blogs de Microsoft, on apprend que la firme, aidée de Symantec, a pu mettre à bas un botnet d’un genre un peu particulier. Habituellement en effet, ces structures de plusieurs dizaines ou centaines de machines (voire de millions) sont les « esclaves zombies » d’une entité directrice. Pour la ou les personnes aux commandes d’un tel maillage de machines, un seul bouton permet d’exploiter la puissance disponible pour générer du spam ou déclencher des attaques par déni de service (DDoS) contre des serveurs.

 

Le malware Bamital a cependant évolué au fil du temps, changeant radicalement autant de méthode que de finalité d’exploitation. C’est d’ailleurs ce qui l’aurait rendu si difficile à détecter si l’on en croit le responsable juridique de Microsoft, Richard Boscovich : « Le malware se transformait de long en large, il a donc été difficile d’identifier les cibles ». Il a donc fallu attendre une fenêtre pour avoir l’opportunité de découvrir le pot aux roses.

De l'injection HTML à la simple redirection 

Les deux sociétés ont dû attendre plus exactement que les mutations s’arrêtent. La surveillance de Bamital datait en effet de plus de trois ans. Mais au cours de cette période, les attributs ont largement été modifiés. Ainsi, dans ses premières versions, le vecteur d’attaque du malware était le navigateur web de l’utilisateur. Une fois le malware en place, des iframes étaient systématiquement injectées dans toutes les pages web visitées, ce qui permettait de charger le contenu voulu par les auteurs.

 

Ces injections HTML ont été remplacées dans les dernières variantes du malware par un mécanisme plus simple, plus direct et potentiellement plus lucratif. Via n’importe quel clic en effet sur une page de recherche, l’utilisateur était renvoyé sur les serveurs contrôlés par Bamital. De là, des redirections HTML permettaient d’orienter l’utilisateur vers des réseaux parallèles de publicités.

Deux serveurs repérés dans des centres de données

Et c’est précisément parce que le malware a cessé d’évoluer et est resté sous cette forme que Microsoft et Symantec ont pu intervenir. Ils ont ainsi pu repérer les fameux serveurs C&C (Command & Control) et ont obtenu un mandat délivré par une cour d’Alexandria (Virginie, États-Unis). L’un des deux serveurs faisait partie d’un centre de données appartenant à la société ISPrime (New Jersey) et a été saisi. L’autre appartenait à la société LeaseWeb et était également situé dans un centre de données. Bien que LeaseWeb ait gardé le serveur, une copie intégrale des données stockées a été transmise à Microsoft et Symantec.

 

Au plus fort de son règne, Bamital permettait de récoler via ces deux serveurs jusqu’à trois millions de clics par jour. Vikram Thakur, l’un des principaux responsables de la sécurité chez Symantec, indique que même avec une estimation très prudente de 0,1 % de taux de transformation pour les publicités, le réseau était capable de générer un million de dollars par an. Il indique par ailleurs que l’estimation pourrait être finalement double ou triple.

La légalité des réseaux publicitaires parallèles en question

bamital

 

L’une des conséquences intéressantes est que les deux firmes savent désormais précisément comment les victimes étaient attaquées. Cela a permis à Microsoft de mettre en place une redirection pour se substituer aux anciens réseaux publicitaires. Elle envoie les utilisateurs vers une page pour les informer du problème et leur proposer des outils gratuits pour désinfecter leurs machines. L’éditeur note par ailleurs que la présence de Bamital s’explique dans la grande majorité des cas par des systèmes et navigateurs qui n’ont pas été mis à jour, laissant des brèches ouvertes aux exploitations (ce que faisait précisément Bamital).

 

Il reste maintenant à examiner les données, car plusieurs points ont encore besoin d’éclaircissement. C’est le cas notamment des publicités elles-mêmes, car ni Microsoft ni Symantec ne peuvent encore dire la vraie nature de ces  réseaux parallèles (vraies publicités pour des faux produits, médicaments interdits, etc.).

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Et rien sur les auteurs/ propriétaires de ce malware ?

Les sociétés à qui appartenaient ces 2 serveurs sont elles impliquées ou bien cela s’est fait à leur insu ?


votre avatar

Il est probablement trop tôt pour le savoir…

votre avatar



Cela a permis à Microsoft de mettre en place une redirection pour se substituer aux anciens réseaux publicitaires pour les remplacer par les siens, qui ont l’avantage d’être neufs.



<img data-src=" />



nan je déconne <img data-src=" />









spamator a écrit :



Et rien sur les auteurs/ propriétaires de ce malware ?

Les sociétés à qui appartenaient ces 2 serveurs sont elles impliquées ou bien cela s’est fait à leur insu ?





Effectivement, même si c’est un coup dur pour le fermier, rien ne dit qu’il n’a pas les capacités de recommencer… Après, je pense que les saisies de serveur et copies de données visent à le traquer, d’une manière ou d’une autre. j’espère.


votre avatar



Au plus fort de son règne, Bamital permettait de récoler



<img data-src=" />



L’éditeur note par ailleurs que la présence de Bamital s’explique dans la grande majorité des cas par des systèmes et navigateurs qui n’ont pas été mis à jour, laissant des brèches ouvertes aux exploitations.



Interface chaise-clavier, encore…

votre avatar







WereWindle a écrit :



Effectivement, même si c’est un coup dur pour le fermier, rien ne dit qu’il n’a pas les capacités de recommencer… Après, je pense que les saisies de serveur et copies de données visent à le traquer, d’une manière ou d’une autre. j’espère.





Au bas mot (d’après les estimations données dans l’actu) il a accumulé 3 millions, soit je pense largement plus que nécessaire pour recommencer.


votre avatar

N’ayant jamais joue a ca, je ne fais qu’imaginer ce qui suit ; notre societe actuelle ne manque pas de failles.





Etant donne les benefices generes (je ne crois pas du tout aux 0,1% mais quand bien meme), les encaissements sont forcemment “securises”, de compte numerote a compte numerote, “physique” ou en ligne, avec generation d’identites et utilisation de boites postales…



Acceder a un compte numerote est deja une galere administrative, mais plusieurs dizaines ou centaine(s) est impossible.

Une petite illustration : je cree 10 comptes en ligne sur freelancer ou paypal par exemple + 2 comptes physiques numerotes (sous deux identites), je transfere les gains directement sur un compte en ligne que je vide vers un autre et ainsi de suite. A la fin, j’arrive sur un premier compte physique que je vide a un certain pourcentage regulierement et transfers sur l’autre compte.

–&gt; Catch me if you… are a medium <img data-src=" />







Ca vous parait coherent ? <img data-src=" />

votre avatar







Winderly a écrit :



Interface chaise-clavier, encore…





Ou entreprises obligeant à rester sous IE6. <img data-src=" />


votre avatar

Petite correction sur la news<img data-src=" />



serveurs C&C (Command & Control)Conquer



<img data-src=" />







<img data-src=" />

votre avatar

vraiment pas idiot leur système (même si ultra-limite)… je ne sais pas si je n’aurais pu que penser à un tel machin <img data-src=" />

votre avatar

1 de moins… et dans le même temps 748937489374982347 nouveaux….



<img data-src=" />

Le botnet Bamital démantelé par une opération conjointe Microsoft/Symantec

  • Un malware qui changeait continuellement de forme

Fermer