Retour à la presse
16 juin 2010
De nombreux posts de keyloggers se sont accumulés sur Pastebin.com faisant craindre des attaques massives de keyloggers
Comme si le nombre dentrées postées par les keyloggers (programme agissant à l'insu de l'utilisateur et enregistrant toutes les frappes de clavier) sur Pastebin nétait pas suffisant, leur contenu a également de quoi inquiéter : au lieu du code open-source attendu, on y trouve des mots de passe Facebook ou de Messagerie Instantanée, ainsi que des informations détaillées sur lhistorique de navigation des utilisateurs peu méfiants.
La quantité de données exposées est suffisante pour éliminer lhypothèse dune mise en ligne manuelle. Une observation plus attentive révèle quil sagit dune infection massive de keyloggers.
Pourquoi utiliser Pastebin.com comme référentiel de logs ?
En général, les keyloggers ont recours à des approches de transfert classiques et envoient les paquets de données via des e-mail ou FTP, ce qui augmente considérablement les risques que les autorités découvrent lidentité de lattaquant.
De plus, lapproche par e-mail est extrêmement peu discrète : il est facile pour un administrateur système de détecter le trafic, sans parler du fait que les logiciels antimalwares informent généralement les utilisateurs quun e-mail quitte leur système. Dautres fois, les ports de messagerie (en général les ports 25, 465 et 578) sont sécurisés ou bloqués, ce qui empêche la transmission des données du keylogger.
Cest pourquoi ce keylogger emploie des tactiques « personnalisées » telles que le dépôt des données sur un emplacement web. Disons que Pastebin évite dêtre bloqué par un pare-feu, de laisser des traces, nindique pas ladresse IP dorigine et permet donc de protéger lidentité de lattaquant.
Le rapport dun keylogger, tel quil apparaît sur Pastebin
Pastebin est une énorme plateforme collaborative hébergeant des millions de lignes de code publiées en texte en clair. Contrairement aux forums ou aux réseaux sociaux, le texte publié ne sera probablement pas vu par dautres utilisateurs, à moins quils ne le recherchent. Mais en faisant une recherche ciblée, lattaquant obtiendra assurément les logs pertinents dans la fenêtre du navigateur.
Ainsi, les victimes se font voler leurs identifiants et mots de passe via le keylogger, mais les données recueillies sont également accessibles à dautres internautes. Et pour couronner le tout, tout ce qui a été posté reste accessible pour toujours, même si les pages en question sont supprimées (cest linconvénient de la mise en cache des données), de sorte que des personnes mal intentionnées peuvent récupérer ces informations à tout moment, et les utiliser de nouveau.
Lobservation des forums « underground » utilisés par les créateurs de malwares révèle une grande quantité de code source pouvant être intégré dans ces nouveaux types de keyloggers. Cela rend cette situation bien plus inquiétante quune mini-épidémie provoquée par lapparition dun seul malware et marque le début dune nouvelle vague dexploitation de services publics et réputés, comme cela sest produit avec les botnets contrôlés sur Twitter.
Informations complémentaires
Il semble que lun des keyloggers utilisant Pastebin afin de préserver son anonymat soit en circulation depuis suffisamment de temps pour être à lorigine de la plupart des posts. Détecté par BitDefender sous le nom de Trojan.Keylogger.PBin.A, ce keylogger est une application console et utilise linterface de programmation Pastebin pour envoyer les frappes de clavier interceptées à intervalles aléatoires.