Le code source du malware Carberp proposé à la vente
Selon les chercheurs de l'entreprise de sécurité russe Group-IB, le code de ce malware spécialisé dans la fraude financière va probablement servir à créer d'autres chevaux de Troie du même type.
Selon des chercheurs russes spécialisés dans la cybercriminalité, le code source du cheval de Troie bancaire Carberp est vendu à bas prix sur le marché parallèle. Si bien qu'il faut s'attendre à voir des variantes du malware bancaire basées sur Carberp dans le futur. « Sur un forum underground, une personne soupçonnée d'appartenir au gang Carberp se dit prête à vendre le code source du trojan avec ses composants supplémentaires pour 5 000 dollars », a écrit mardi dans un courriel Andrey Komarov, responsable de projets du Group-IB au niveau international.
Comparé aux 40 000 dollars que le gang Carberp demandait pour l'application build, laquelle permet de générer des copies personnalisées du cheval de Troie, le prix est dérisoire. On trouve aussi des variantes précompilées du malware vendues sur une base d'abonnement mensuel entre 2 000 et 10 000 dollars en fonction des modules additionnels. Andrey Komarov estime que la valeur commerciale du code source lui-même devrait normalement se situer entre 50 000 et 70 000 dollars.
Un trojan qui vient de l'Est
C'est en 2010 qu'est apparu Carberp. Au départ, le cheval de Troie a été développé et utilisé par un gang spécifique de cybercriminels. Mais, en 2011, le gang a vendu un nombre limité de versions build, entraînant du même coup une augmentation du nombre de fraudes basées sur Carberp. Pendant longtemps, le cheval de Troie a été presque exclusivement utilisé pour cibler des utilisateurs de services bancaires en ligne en Russie, Ukraine, Biélorussie, Kazakhstan, Moldavie et autres États de l'ex-Union soviétique. Cependant, des variantes et des scripts de configuration ciblant les banques américaines et australiennes ont été retrouvées cette année.
« Dans le passé, quelques personnes ont été arrêtées pour leur implication dans des opérations Carberp », rappelle le chercheur. « À l'heure actuelle, le gang compte environ 12 membres actifs, la plupart d'entre eux étant localisés en Ukraine et en Russie, mais certains vivent dans les pays de l'Union européenne », a-t-il précisé. On sait aussi que le groupe a recruté des développeurs extérieurs pour créer des modules supplémentaires pour le malware. Par exemple, des pirates chinois ont été embauchés pour créer un bootkit - un rootkit de boot - pouvant être utilisé avec le cheval de Troie.
Un conflit au sein du groupe de cybercriminels
Un conflit au sein du groupe de cybercriminels
Andrey Komarov pense que cette mise en vente du code source est le résultat d'un conflit au sein du groupe Carberp. Le membre, prêt à céder le code source pour 5000 dollars, est identifié par le pseudo madeinrm. « Ce dernier se justifie en affirmant qu'un autre membre du gang, identifié par le pseudo Batman, et connu en ligne pour assurer le support aux clients du gang, aurait déjà vendu le code source à d'autres », explique le chercheur de Group-IB. Le fichier d'archive offert par madeinrm pèse 5 Go et contiendrait le code source commenté de Carberp avec tous ses modules, y compris ceux du bootkit, le code source pour le panneau d'administration utilisé sur les serveurs de commande et de contrôle de Carberp, les exploits qui permettent d'usurper les privilèges de Windows en tirant profit de deux vulnérabilités CVE-2012-0217 et CVE-2012-1864 corrigées en 2012, plus des scripts dits « d'injection web » qui permettent au malware d'interagir avec les différents sites de banque en ligne.
Selon Andrey Komarov, la vente du code source de Carberp pourrait déboucher sur la création d'un nouveau malware bancaire fondé sur le cheval de Troie, un peu comme ce qui s'est passé avec le Trojan bancaire ZeuS dont le code source s'est retrouvé sur des sites de partage de fichiers. « Le vendeur a, semble-t-il, l'intention de quitter le groupe pour se consacrer à d'autres projets », commente le chercheur russe. Ce n'est pas exceptionnel. « D'autres développeurs de logiciels malveillants avant lui ont renoncé à leurs créations et détruit leurs identités sur les forums cybercriminels », a-t-il déclaré.