Le toolkit Neosploit refait surface

• Imprimer

Le kit Neosploit de développement d'attaques revient sur le devant de la scène alors que les experts croyaient que son groupe de développeurs était éteint. Neosploit, un kit fameux pour la réalisation d'exploit, que l'on pouvait croire retiré depuis des mois, est de nouveau très actif selon un expert en sécurité. "Neosploit est de retour, les déclarations sur sa disparation cet été n'étaient qu'une ruse, car le kit commençait à susciter trop d'intérêt de la part des autorités et des experts, affirme Ian Amit, directeur de la recherche chez Aladdin Knowledge Systems. Neosploit est apparu pour la première fois en 2007, à la suite de MPack, et contemporain d'un autre kit, WebAttacker. Tous ces kist servent aux cybercriminels pour développer des codes d'attaque pour les nouvelles vulnérabilités dans Windows, internet explorer ou des logiciels tiers tels que Quicktime. Il y a deux jours, les chercheurs d'Aladdin ont eu la preuve de l'activité du groupe lié à Neosploit. Un serveur, en Argentine, exploité par un client de Neosploit, contenait la version 3.1 de Neosploit, datant du 9 août 2008, des semaines après la fin supposée du groupe. De plus, les données sur ce même serveur, montrent que 20 utilisateurs y sont raccordés, dont sept pour de très « hauts volumes », qui enregistraient des milliers d'exploits chaque jour, par l'usage de Neosploit. « Ces 20 criminels ont compromis de 200 à 300 sites Web, ce qui a entraîné plus d'un quart de million d'attaques réussies contre des PC qui n'étaient pas correctement « patchés », indique Ian Amit. Le seul objectif de Neosploit est de délivrer des « malware » contre les navigateurs web. Le kit ne sert pas au hacking des sites. Les attaques ont lieu via d'autres vulnérabilités, ou en trouvant le mot de passe de l'administrateur. Ce n'est qu'à ce moment-là que le site Web est compromis par le code d'attaque venant de Neosploit. L'outil sert aussi à analyser quels sont les « exploits » les plus efficaces et les navigateurs les plus vulnérables. Autre « amélioration », elle concerne le mode de licence du kit. « Le mode de licence a été poussé plus loin, car Neosploit a eu tellement de succès qu'il a été copié et piraté, par des pirates qui ne voulaient pas payer pour le logiciel. Le mode de licence utilise le nom de connexion et le mot de passe d'un compte payant, en le reliant à une adresse IP, , termine Ian Amit.