Koobface - Koobface

Koobface
Nom commun Koobface
Alias
Taper Ver informatique
Sous-type Logiciels malveillants
Point d'origine Russie

Koobface est un ver de réseau qui attaque les plates-formes Microsoft Windows , Mac OS X et Linux . Ce ver ciblait à l'origine les utilisateurs de sites Web de mise en réseau comme Facebook , Skype , Yahoo Messenger et les sites Web de messagerie tels que GMail , Yahoo Mail et AOL Mail . Il cible également d'autres sites Web de mise en réseau, tels que MySpace , Twitter , et il peut infecter d'autres appareils sur le même réseau local. Les escrocs du support technique prétendent également frauduleusement à leurs victimes qu'ils ont une infection Koobface sur leur ordinateur en utilisant de fausses fenêtres contextuelles et en utilisant des programmes Windows intégrés.

Infection

En cas d'infection réussie, Koobface tente finalement de collecter des informations de connexion pour les sites FTP , Facebook, Skype et d'autres plateformes de médias sociaux, ainsi que toutes les données financières sensibles. Il utilise ensuite des ordinateurs compromis pour créer un botnet peer-to-peer . Un ordinateur compromis contacte d'autres ordinateurs compromis pour recevoir des commandes d'égal à égal. Le botnet est utilisé pour installer des logiciels malveillants supplémentaires payants sur l'ordinateur compromis et détourner des requêtes de recherche pour afficher des publicités. Sa topologie peer-to-peer est également utilisée pour montrer de faux messages à d'autres utilisateurs dans le but d'étendre le botnet. Il a été détecté pour la première fois en décembre 2008 et une version plus puissante est apparue en mars 2009. Une étude de l' Information Warfare Monitor , une collaboration conjointe du groupe SecDev et du Citizen Lab de la Munk School of Global Affairs de l' Université de Toronto , a révélé que les opérateurs de ce programme ont généré plus de 2 millions de dollars de revenus de juin 2009 à juin 2010.

Koobface s'est propagé à l'origine en livrant des messages Facebook à des personnes qui sont des "amis" d'un utilisateur de Facebook dont l'ordinateur avait déjà été infecté. Dès réception, le message dirige les destinataires vers un site Web tiers (ou un autre PC infecté par Koobface), où ils sont invités à télécharger ce qui est censé être une mise à jour du lecteur Adobe Flash . S'ils téléchargent et exécutent le fichier, Koobface peut infecter leur système. Il peut alors réquisitionner l'utilisation du moteur de recherche de l'ordinateur et le diriger vers des sites Web contaminés. Il peut également y avoir des liens vers le site Web tiers sur le mur Facebook de l'ami d'où vient le message, avec parfois des commentaires comme LOL ou YOUTUBE. Si le lien est ouvert, le virus cheval de Troie infectera l'ordinateur et le PC deviendra un zombie ou un ordinateur hôte.

Parmi les composants téléchargés par Koobface figurent un programme de filtrage DNS qui bloque l'accès aux sites Web de sécurité bien connus et un outil proxy qui permet aux attaquants d'abuser du PC infecté. À un moment donné, le gang de Koobface utilisait également Limbo, un programme de vol de mots de passe.

Plusieurs variantes du ver ont été identifiées :

  • Ver:Win32/Koobface.gen!F
  • Net-Worm.Win32.Koobface.a, qui attaque MySpace
  • Net-Worm.Win32.Koobface.b, qui attaque Facebook
  • WORM_KOOBFACE.DC, qui attaque Twitter
  • W32/Koobfa-Gen, qui attaque Facebook , MySpace , hi5 , Bebo , Friendster , myYearbook, Tagged, Netlog, Badoo et fubar
  • W32.Koobface.D
  • OSX/Koobface.A, une version Mac qui se propage via les réseaux sociaux tels que Facebook, MySpace et Twitter.

En janvier 2012, le New York Times a rapporté que Facebook prévoyait de partager des informations sur le gang Koobface et de nommer ceux qu'il croyait responsables. Les enquêtes menées par le chercheur allemand Jan Droemer et le Centre for Information Assurance and Joint Forensics Research de l'Université de l'Alabama à Birmingham auraient aidé à découvrir l'identité des responsables.

Facebook a finalement révélé les noms des suspects derrière le ver le 17 janvier 2012. Ils incluent Stanislav Avdeyko (leDed), Alexander Koltyshev (Floppy), Anton Korotchenko (KrotReal), Roman P. Koturbach (PoMuc), Svyatoslav E. Polichuck ( PsViat et PsycoMan). Ils sont basés à Saint-Pétersbourg , en Russie . Le groupe est parfois appelé Ali Baba & 4 avec Stanislav Avdeyko comme leader. L'enquête a également relié Avdeyko au logiciel espion CoolWebSearch .

Avertissements de canular

La menace Koobface fait également l'objet de nombreux avertissements de canular conçus pour inciter les utilisateurs de réseaux sociaux à diffuser de la désinformation sur Internet. Divers sites Web anti-escroquerie tels que Snopes.com et ThatsNonsense.com ont enregistré de nombreux cas où des messages alarmistes conçus pour tromper et paniquer les utilisateurs de Facebook ont ​​commencé à circuler de manière prolifique en utilisant la menace Koobface largement médiatisée comme appât.

D'autres idées fausses se sont répandues concernant la menace Koobface, y compris la fausse affirmation selon laquelle accepter des « pirates » comme amis Facebook infectera l'ordinateur d'une victime avec Koobface, ou que les applications Facebook sont elles-mêmes des menaces Koobface. Ces affirmations sont fausses. D'autres rumeurs affirment que Koobface est beaucoup plus dangereux que d'autres exemples de logiciels malveillants et qu'il a la capacité de supprimer tous vos fichiers informatiques et de « graver votre disque dur ». Cependant, ces rumeurs sont inspirées de faux avertissements de virus antérieurs et restent fausses.

Voir également

Les références

Liens externes