Un œil sur SpyEye

En début de semaine, le département américain de la justice annonçait que le concepteur du malware bancaire SpyEye, Aleksandr Andreevich Panin (aussi connu sous les pseudos de Gribodemon et Harderman), avait plaidé coupable devant une cour fédérale des charges de création et de distribution de SpyEye qui pesaient sur lui.

Trend Micro s’est investi dans cette enquête et a collaboré avec le FBI pour aboutir à cette arrestation.

Notre enquête

Aleksandr Panin comptait parmi ses complices un certain Hamza Bendelladj, connu sous le pseudo bx1. Panin et Bendelladj ont pris part au déploiement de plusieurs domaines et serveurs SpyEye, et c’est ainsi que nous avons pu obtenir des informations sur ce duo. SpyEye a été créé de manière à ce que peu de ses fichiers puissent être disponibles publiquement, mais nous avons pu obtenir ces fichiers et en tirer des informations intéressantes, comme, par exemple, l’adresse email de l’administrateur d’un des serveurs.

Nous avons corrélé cette information issue des fichiers de configuration avec d’autres infos obtenues ailleurs. A titre d’exemple, nous avons infiltré plusieurs forums underground connus pour être utilisés par Panin et Bendelladj. Nous avons pu récupérer sur leurs posts des informations pouvant les identifier, à l’instar d’adresses email, de numéros ICQ ou d’identifiants Jabber. Nous avons, par ailleurs, identifié le serveur C&C lloydstsb.bz, ainsi que des fichiers de configuration et binaires associés à SpyEye. Un des fichiers de configuration sur le serveur contenait une adresse email. Un second fichier de configuration nous a permis de récupérer les identifiants de connexion à virtest, un service de test de détection souvent utilisé par des cybercriminels.

spyeye1_1-300x64spyeye2_2

 

      1.Fichiers de configuration

Le post ci-dessous, repéré dans un forum underground, montre que l’implication de Bendelladj dans SpyEye est bien plus importante que ce qu’il a admis publiquement:

spyeye32. Post sur un forum underground (clic pour agrandir)

Le graphique ci-dessous montre certains liens entre différents sites Web, adresses email et malware utilisés par Bendelladj:

spyeye43. Liens entre les différents sites Web, adresses email et malware (Clic pour agrandir)

Nous avons également mené l’enquête sur Panin et avons constaté qu’il était, lui aussi, lié à de nombreux noms de domaines et adresses email. Panin pensait sans doute être suffisamment doué pour ne laisser aucune trace, mais la réalité est toute autre. À l’époque où il a commencé à commercialiser SpyEye, il a péché en matière de précautions. En dépit de nombreux pseudos et adresses email utilisés, Trend Micro, en collaboration avec le FBI, a pu cerner sa véritable identité.

Panin a démarré en 2009 la commercialisation de SpyEye , qui s’est rapidement imposé en tant que concurrent du malware connu ZeuS. SpyEye a rapidement trouvé son marché, grâce à un coût moins élevé et de la possibilité d’ajouter des plug-ins personnalisés, ce que ne proposait pas ZeuS. SpyEye est devenu rapidement connu au sein de la communauté des cybercriminels, si bien que quand Slavik, le créateur de ZeuS, s’est retiré du jeu, il a transféré le code source de son malware à Panin.

Ce code source a été utilisé pour créer une nouvelle version de SpyEye, intégrant les fonctionnalités de ZeuS. Panin a externalisé en partie cette tâche d’intégration et de développement auprès de complices tels que Bendelladj, dans l’optique d’améliorer la qualité de SpyEye et de réutiliser le code source de ZeuS.

Cette enquête qui a abouti à une arrestation témoigne de l’intérêt d’une collaboration étroite d’acteurs de la sécurité comme Trend Micro avec les forces de l’ordre. En ciblant les cybercriminels plutôt que leur serveurs, les résultats sont plus impactant et durables qu’un simple démantèlement de serveurs. C’est précisément cette approche qui est la plus efficace pour combattre la cybercriminalité, comme en témoignent les nombreux succès rencontré par Trend Micro au cours de ces récentes années.

Leave a Reply

Your email address will not be published. Required fields are marked *