Assiste.com
Botnet Gumblar
Botnet Gumblar : réseau de millions d'ordinateurs compromis et regroupés sous le commandement d'un pirate qui exploite la somme des puissances.
cr 01.04.2012 r+ 21.08.2020 r- 16.02.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
|
Dossier (collection) : Encyclopédie |
|---|
| Introduction Liste Malwarebytes et Kaspersky ou Emsisoft (incluant Bitdefender) |
| Sommaire (montrer / masquer) |
|---|
Rappel :
Les réseaux criminels de « calcul distribué » s'appellent des « botnets » (réseaux de « bots » (« robots »)) et chaque appareil (ordinateur) dans le réseau est appelé « zombies ». Les « zombies » sont des ordinateurs individuels utilisés frauduleusement, squattés à l'insu de leurs propriétaires. Un « botnet » peut être constitué de plus d'un million d'ordinateurs zombifiés.
Voir les articles :
Le BotNet Gumblar
Dernière mise à jour : 16 avril 2012
Découvert en mars 2009, ce BotNet (Gumblar ou JSRedir-R Trojan) se constitue en infectant les machines des utilisateurs à partir de sites Web (domaines) infectés (hackés).
Les sites Web sont infectés à partir d'un domaine chinois, gumblar.cn puis, une fois celui-ci découvert et fermé en mai 2009, par un autre domaine chinois : [1] martuz.cn, demantelé à son tour.
Des scripts en JavaScript lourdement encryptés, se générant dynamiquement et mutant automatiquement, ont été injectés dans des pages Web de sites Web très visités, comme Tennis.com, Variety.com et Coldwellbanker.com.
Le code changeait de page en page, ce qui rendait son identification cauchemardesque pour les ingénieurs en sécurité.
Le code cherchait à exploiter des failles de sécurité dans Adobe Acrobat Reader et Flash Player afin d'injecter des résultats de recherches malicieux dans les résultats fournis à des requêtes Google faites sous Internet Explorer.
Gumblar refait surface en janvier 2010, dérobant des noms d'utilisateur et des mots de passe FTP et infectant des fichiers HTML, PHP et JavaScript sur des serveurs Web afin de contribuer à sa propagation. Cette fois, il utilisait plusieurs domaines, ce qui rendait plus difficile la détection / l'arrêt. Afin d'infecter d'autres domaines et ainsi accélérer son déploiement, l'infection cherche les mots de passe des espaces FTP en ciblant les mots de passe des outils servant à transférer des sites Web depuis les machines de développement vers les serveurs (les mots de passe stockés dans les ouils FileZilla et Dreamweaver, par exemple).
Une fois les mots de passe administrateur des hébergements obtenus, le cybercriminel rapatrie de larges parties du site hébergé sur ses propres machines, en modifie les pages pour y injecter le piège (les scripts en JavaScript encryptés) et renvoie les pages vers le serveur. Les domaines chinois incriminés sont associés à des adresses IP Russes et Lettonnes, et du code est délivré depuis des serveurs localisés au Royaume Uni.
↑ [01]
Martuz .cn – New Incarnation of the Gumblar Exploit. So What's New? (unmaskparasites, 18 mai 2009) [Archive]
