Plus de 68 000 personnes ou organisations infectées ces six derniers mois, plus de 1 800 utilisateurs décomptés dans les forums pour cybercriminels. Il n’y a pas de doute : Adwind est la nouvelle « killer app » du cybercrime.
Disponible clé en main sous la forme de malware-as-a-service, ce logiciel d’espionnage forme – avec toutes ses variantes – l’une des plus importantes plates-formes malicieuses en activité à ce jour. C’est la conclusion à laquelle sont arrivés les chercheurs en sécurité de Kaspersky, qui viennent de présenter une étude complète sur ce malware, à l’occasion de la conférence Security Analyst Summit.
Ce succès a mis des années à se construire. Adwind existe depuis 2012 et a connu de nombreuses modifications et de changements de noms. On le retrouve notamment sous les appellations Frutas, Unrecom ou AlienSpy, qui était la dernière version avant qu’elle soit épinglée par la société Fidelis en avril 2015, infligeant un sérieux coup à ce business illégal.
Mais le reflux n’a été que de courte durée. Fin 2015, les chercheurs de Kaspersky détectent une nouvelle variante encore plus virulente, en bloquant un email piégé envoyé à une banque singapourienne. En menant l’enquête, les limiers de Kaspersky découvrent rapidement deux cent autres courriels piégés de la même façon. Pas de de doute : Adwind est de retour, cette fois sous encore un autre nom: « JSocket ». Et selon l’éditeur, la vague d’attaques actuelle est sans précédent.
Ce qui rend ce logiciel si attirant, c’est qu’il est écrit en Java. Il est donc parfaitement « cross platform » et fonctionne aussi bien sur Windows, OS X, Linux que sur Android. Plutôt pratique pour un pirate qui cherche à rentabiliser au mieux son action. Côté fonctionnalités, c’est également l’opulence : keylogger, capture d’écrans à distance, enregistrement audio/photo/vidéo, transfert de fichiers, collecte d’informations techniques, vol d’adresses Bitcoin, vol de certificats VPN, etc.
Pour l’utiliser, il suffit de s’inscrire et de payer. Le logiciel est commercialisé sous forme de service. Les développeurs opèrent à découvert. Leur site est accessible sur Internet, pas besoin de passer par Tor. Il existe même une chaine YouTube. Plusieurs formules d’abonnement sont disponibles, allant de 25 dollars pour 15 jours d’utilisation (« Basic ») à 300 dollars pour un an (« Ultimate »). Quand l’abonnement est écoulé, le pirate n’a plus aucun contrôle sur les machines infectées.
Sur ce service en ligne, le pirate peut personnaliser son malware et l’adapter à ses besoins. Le site dispose même d’un scanner antivirus embarquant 23 moteurs différents, permettant au pirate de savoir si sa version est détectable ou non.
On pourrait se dire que pour se protéger, il suffit de désinstaller Java de sa machine. Erreur: parmi les nombreuses options proposées figure également un « downloader » capable d’installer Java et même de façon persistante. Bref, Adwind est un véritable couteau suisse pour l’espionnage et le vol de données, c’est pourquoi on le rencontre dans presque tous les secteurs économiques et dans beaucoup de pays de la planète. Au total, plus de 400 000 personnes ou organisations ont été infectées entre 2013 et début 2016 par Adwind et ses différentes variantes.
Facile à utiliser, Adwind attire des criminels d’horizons assez divers : petits cyberescrocs qui veulent monter en compétence, compétiteurs peu scrupuleux, cybermercenaires, particuliers indélicats qui espionnent leurs voisins, etc. « Le criminel qui a attaqué la banque singapourienne était loin d’être un hacker professionnel, et nous pensons que c’est le cas pour la plupart des clients d’Adwind », souligne Aleksandr Gostev, expert sécurité en chef chez Kaspersky. Une forme de démocratisation du cybercrime qui est plutôt inquiétante. « Beaucoup de clients se trouvent, en particulier, au Nigeria qui cherchent à renouveler leur méthodes d’arnaques », ajoute M. Gostev.
Mais le plus surprenant: selon Kaspersky, cette plateforme de malware est l’oeuvre d’une seule personne, très probablement un développeur mexicain âgé entre 22 et 30 ans. C’est en tous les cas ce que révèle les éléments de langages et les dates de compilation trouvés dans les exemplaires de ce malware. « Cet homme est un très bon développeur. Il a créé un business profitable qui génère environ 200000 dollars par an », estime M. Gostev. Et visiblement, il n’est pas du tout gêné par les forces de l’ordre de son pays…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.