Mai 2009, le ver "Koobface" anagramme de "FaceBook" arrive dans le TOP5 des familles derrière Taterf, Frethog et Alureon. Koobface n'est pas une nouveauté, certes, mais il est toujours bon de s'informer sur les techniques utilisées et d'avoir conscience des risques potentiels que comportent nos gestes du quotidien ça permet entre autre d'accroître notre vigilance et d'éviter les pièges.

Oh..oh.. you clicked too much!

Scénario: L'utilisateur se connecte à son compte "Facebook", dans sa boîte de réception, un message accompagné d'un lien inconnu. Un réflexe adopté par cetains internautes consiste à vérifier le nom du site dans Google, ici tout semble normal: la page d'accueil à l'air sérieuse et pourtant.. il s'agit d'un site légitime ayant été détourné pour l'occasion et qui héberge des scripts malveillants, regardez plutôt la suite.

Admettons que l'utilisateur décide de cliquer sur le lien reçu dans sa boîte de réception. Une page va s'afficher, elle aura l'apparence d'une page à l'effigie d'un site dit de confiance: "YouTube." Une personne informée des risques qui existent sur Internet remarquera rapidement que la barre d'adresse n'affiche pas "youtube.com" et l'anomalie de la fausse page qui a pour titre "YuoTube". La mise en scène - une fois la page chargée, vous découvrez un message qui vous informe que vous ne disposez pas du nécessaire pour visualiser le contenu, ici la "Secret Video", et on vous demande explicitement si vous souhaitez accepter ou refuser le téléchargement d'un programme dont le nom vous évoque quelque chose que vous avez déjà lu quelque part, dans ce cas précis: "FlashPlayer". Si la personne télécharge et exécute ce faux lecteur alors sa machine va être infectée.



Quand l'utilisateur clique sur le lien qui est contenu dans le message "Facebook", la page renvoyée se présente sous cette forme:

Le fichier script "w1v9gpe7pm.js" contient:
Les valeurs des variables "abc1" et "abc2" du script correspondent à des DNS qui sont tout deux configurés sur le même serveur chez TM Net situé dans la capitale de la Malaisie, Kuala Lumpur. La composition de ces noms de domaines permet de révéler un indicateur temporel quant à la date de mise en service: redir+0705 et redir:0805. Autres exemples observés par le passé, redir+2404.com qui pointe aussi sur ce même serveur par contre redir+2404.com pointe sur un serveur basé à Pékin en Chine. Le navigateur va donc interpréter ce code javascript et en fonction des variables va rediriger vers "redir????.com/go/index.php" ; le serveur va répondre avec pour entête de réponse un champs nommé "Location" qui contient l'adresse sur laquelle le navigateur doit être redirigé. A chaque nouvelle requête, un mécanisme (non détaillé) fait en sorte que la valeur renvoyée, en l'occurrence l'adresse IP, soit toujours différente. En principe les éléments qui composent la fausse page "YouTube" sont les mêmes:

- "%serveur%/player.swf" ; Une animation Flash qui simule l'absence de Flash. (le comble)
- "%serveur%/tom.jpg" ; Un avatar situé en haut à droite sur la capture d'écran.
- "%serveur%/setup.exe" ; Un programme malveillant.

A chaque nouvelle adresse IP, un programme différent, sûrement dans le but de contourner les antivirus qui se baseraient uniquement sur les détections par fichiers de signatures. Différents ? Non, pas vraiment. Seule l'empreinte change grâce à de faibles variations opérées (non détaillées) par un remplacement de quelques bytes à un offset (position) précis. Ci-dessous, une schématisation: en rouge le nom des réseaux sociaux avec leur rank entre parenthèses (sources: Alexa) et en jaune la codification utilisée par les scripts / programmes.

Une fois le programme exécuté, il va indiquer à ses propriétaires qu'il est opérationnel et va réaliser divers téléchargements qui seront adaptés en fonction de la configuration de la personne infectée puis veillera à bien tenir à jour sa panoplie de programmes (1). A son tour, votre ordinateur va envoyer des messages qui iront peut être infecter d'autres personnes (2).


Et on revient au point de départ, c'est cyclique.
Mais que fait la police la bande à Ali Baba...

Liens connexes:
- Anti-Social Networking ( March 10, 2009 - Scott Molenkamp ; MMPC )
- MSRT and an Update of Worms in the Wild ( May 4, 2009 - Jeremy Croy ; MMPC )
- Koobface: tirando del hilo ( May 20, 2009 - Jose Miguel Esparza ; S21sec e-crime )
- Koobface Worm Alive and Wriggling ( May 20, 2009 - JM Hipolito ; Trend Micro )
- The Allure of Social Networking ( May 31, 2009 - Methusela Cebrian Ferrer ; Trend Micro )
- Koobface Re-Activated! ( June 16, 2009 - Ricardo Robielos )
- Ali Baba and the Forty Thieves ( June 19, 2009 - Jerome Segura )
- Koobface Tweets ( June 25, 2009 - Jonell Baltazar )
- Dissecting Koobface Worm's Twitter Campaign ( July 15, 2009 - Dancho Danchev )
- New KOOBFACE Upgrade Makes It Takedown-Proof ( July 22, 2009 - Jonell Baltazar )
- Koobface - Come Out, Come Out, Wherever You Are ( July 22, 2009 - Dancho Danchev )
- Movement on the Koobface Front ( August 4, 2009 - Dancho Danchev )
- The Real Face of KOOBFACE ( August 6, 2009 - Ryan Flores )
- New tricks for Koobface ( August 6, 2009 - Stefan )
- Tertwit? or Twitter Tweet Links Redirect to Koobface ( August 7, 2009 - ThreatFire )
- Koobface New Status Update... ( August 14, 2009 - Mary Grace Gabriel )
- Koobface: The saga continues ( August 14, 2009 - Sean-Paul Correll )
- Koobface Ramps Up Its Twitter Campaign ( August 17, 2009 - Joey Costoya )
- Movement on the Koobface Front - Part Two ( August 19, 2009 - Dancho Danchev )
- Koobface 0x3e8 Folders and Links ( August 19, 2009 - ThreatFire )
- Koobface Botnet's Scareware Business Model ( September 16, 2009 - Dancho Danchev )
- Koobface, Gumblar, Slowloris, Antisec ( September 18, 2009 - ActuSécu XMCO n°23 )
- Koobface Botnet Dissected in a TrendMicro Report ( October 14, 2009 - Dancho Danchev )
- Koobface Botnet's Scareware Business Model - Part Two ( November 11, 2009 - Dancho Danchev )
- Koobface – the social network trojan ( December 6, 2009 - The Swiss Security Blog )