Clampi, un cheval de Troie qui s'avère être un botnet de vol de données financières
Le cheval de Troie Clampi s'avère être un botnet spécialisé dans le vol de données financières, qui est associé à plus de 4 500 sites. Un chiffre énorme en comparaison de la plupart des chevaux de Troie de ce type. En regardant de plus près l'insaisissable cheval de Troie Clampi, un code malveillant qui utilise un chiffrement pour dissimuler ses objectifs de vol de données, on s'aperçoit qu'il s'agit d'un botnet qui est associé à plus de 4 500 sites, selon un chercheur. « Nous avons été en mesure d'aller au travers des couches de cryptage de Clampi », explique Joe Stewart, Directeur de la recherche sur les Codes Malveillants chez SecureWorks. « Clampi collecte des données associées avec près de 4 600 sites, comme des banques ou d'autres institutions financières visées par les pirates informatiques. » Mais ça ne s'arrête pas là. « Clampi s'attaque aussi aux services publics, aux sociétés d'étude de marché, aux casinos en ligne et aux sites d'emplois », précise Joe Stewart. Il essaye de récupérer des informations personnelles, comme des identifiants ou des informations sur des comptes, qui peuvent être utilisées pour réaliser des gains financiers. Clampi, aussi connu sous les noms Ligats, Ilomo or Rscan, utilise des outils psexec pour se répandre sur des réseaux Windows à la manière d'un ver. 4 600 sites surveillés Jusqu'ici, SecureWorks a identifié 1,400 sites spécifiques dans 70 pays parmis les quelques 4 600 sites que Clampi semble être programmé pour surveiller une fois qu'il a infecté une machine Windows. La façon dont est conçu Clampi (qui a été détecté la première fois en 2007) révèle que son créateur « a fait son enquête et a méthodiquement amassé beaucoup d'informations à propos de ces site », estime Joe Stewart. Il explique aussi que ce chiffre de 4 600 sites est énorme en comparaison de ce que l'on trouve habituellement dans les chevaux de Troie conçus pour voler des données financière lors de transactions sur des sites en ligne. La plupart des chevaux de Troie de ce type, comme Zeus, n'ont habituellement pas plus de 30 cibles. Clampi, une fois qu'il a fait son chemin dans une machine infectée, attendra que sa victime fasse une action en lien avec l'un des 4 600 sites infectés et entrera alors en action pour voler des données, les transférant à des serveurs de contrôle via un canal crypté. Clampi se propage par 'drive-by download' Selon SecureWorks, le principal moyen de propagation de Clampi est par 'drive-by download' [installation et exécution automatique de code malveillant] quand un utilisateur visite un site Web qui a été compromis par les attaquants. Certains de ces sites peuvent être considérés comme légitimes par les visiteurs alors qu'ils sont compromis, souvent parce que les informations d'authentification du webmaster ou du responsable de la sécurité du réseau ont été volées. L'attaquant a alors simplement chargé le code malveillant pour permettre à Clampi d'effectuer des 'drive-by download'. Clampi, que l'on estime avoir infecté des milliers de machines, fonctionne comme un botnet sous le contrôle d'un pirate, probablement en Europe de l'est, explique Joe Stewart. Comme un botnet, Clampi récupère des données personnelles sensibles de sa victime et les renvoie à l'aide d'un ensemble de serveurs de contrôle aux pirates informatiques. Il semble prendre de la vitesse depuis Juillet, et pourrait être le cheval de Troie utilisé dans le piratage qui a touché Slack Auto Parts à Gainsville début juillet. Le serveur de contrôle de Clampi est chiffré avec un cryptage blowfish de 448 bits, et utilise une clé générée aléatoirement qui est envoyée au serveur avec un chiffrement RSA de 2 048 bits. SecureWorks a pu passer au travers de cette couche de cryptage en interceptant la clé de session dans un système test, puis en décryptant le trafic. C'est ce qui a permis à la firme de sécurité d'examiner la liste des sites Web ciblés par un module qui fait partie de Clampi. Comment se défendre face à Clampi ? « Il n'y a aucun produit que vous pouvez acheter pour vous prémunir contre cette attaque, car les protections adéquates n'existent pas encore », précise Joe Stewart, mais il ajoute qu'un programme antivirus pourrait éventuellement le détecter et l'arrêter par la suite sur votre machine. Il recommande de trouver une façon d'utiliser un 'système séparé' de celui où se trouve le navigateur pour réaliser ses transactions financières, ce qui réduirait le risque de se faire infecter par Clampi.