Kroxxu : le réseau pirate glouton qui fait trembler le web ?

Kroxxu : le réseau pirate glouton qui fait trembler le web ?
Le laboratoire de recherche d'Avast vient de révéler qu'un mystérieux réseau pirate, dénommé "Kroxxu" aurait infecté 100.000 nouveaux sites ces 12 derniers mois, affectant près d'un million d'utilisateurs. Apparu en 2009, Il serait à l'origine de très nombreux virus affectant les sites web, des virus particulièrement tenaces et difficiles à détecter pour les administrateurs. Ce réseau pirate d'auto-génération de logiciels malveillants est qualifié de novateur par l'éditeur de solutions d'antivirus, et sa capacité de nuisance serait assez considérable : à l'origine d'infections "furtives" et prolongées, il ne laisserait pas la moindre chance à un serveur touché, avec une durée de vie de 90 jours en moyenne. Histoire d'épaissir un peu plus le mystère, les chercheurs d'Avast indiquent qu'il n'ont pas encore percé à jour le « modèle économique » derrière ce réseau de machines zombies.

Un réseau pirate « monomaniaque » et glouton
Si l'on ignore encore comment les créateurs de « Kroxxu » se rémunèrent, on connaît un peu mieux le mode opératoire de leur botnet. Ce nouveau réseau pirate, qui aurait infecté 100.000 nouveaux sites et touché près d'un millions d'utilisateurs dans le monde, serait le cauchemar des administrateurs et propriétaires de sites web. Selon Avast, Kroxxu mènerait des actions très ciblées : il se concentrerait exclusivement sur le vol des mots de passe FTP, le protocole utilisé pour transmettre des données vers les serveurs hébergeant les sites web, pour y injecter du code malveillant. Il se différencie notamment de Gumblar (un de ses avatars), le réseau pirate plus « protéiforme » ayant sévi en 2009, qui utilisait notamment les résultats de recherches de Google pour rediriger les utilisateurs vers des sites web infectés... Afin de s'attaquer à leur OS Windows. « Kroxxu » lui « croque » exclusivement les sites web en les infectant et ne cherche pour l'heure qu'à étendre son aire de nuisance, selon Avast. En ajoutant un script au contenu du site victime d'intrusion, il modifierait les fichiers hébergés sur les serveurs infectés, pour étendre son réseau vers d'autres serveurs.

Infections incrustées, durables et peu détectables
L'autre caractéristique de Kroxxu est sa capacité de dissimulation. La cellule de recherche de l'éditeur a ainsi constaté que 985 redirecteurs PHP et 336 distributeurs de logiciels malveillants installés dans les sites infectés ont survécu plus de trois mois sans attirer l'attention des administrateurs des sites concernés. Les infections seraient en outre particulièrement difficiles à éliminer d'un serveur... Quand celles-ci ne leur seraient pas fatales: Avast précise que la durée de vie moyenne d'un serveur infecté par un virus injecté par Kroxxu serait de 90 jours. Les administrateurs de sites web occupent un rôle essentiel dans la procédure de désinfection, puisqu'ils sont les seuls légalement habilités à supprimer les codes malveillants incrustés dans leurs sites. Une contrainte "qui bouleverse l'ensemble des critères juridiques propres aux URL" prévient Avast.

Un réseau très flexibile
C'est la croissance soutenue de l'activité du réseau pirate qui semble plus inquiétante : selon l'éditeur, le "zombie" Kroxxu inclut plus de 10 000 redirecteurs, 2 500 redirecteurs PHP et 700 logiciels malveillants supplémentaires dans le monde, qui sont connectés aléatoirement et contrôlés à distance dans des lieux cachés. La redirection est un élément essentiel pour Kroxxu puisqu'elle lui permettrait de se cacher, sans troubler la méfiance de l'internaute.

"Les attaques de Kroxxu sont basées sur le fait que toutes les parties du réseau sont égales et interchangeables. Si une partie est utilisée comme redirecteur initial, elle peut également l'être pour la distribution finale au même moment ou à un autre. Cela lui permet de se dupliquer beaucoup plus facilement et rapidement" explique le directeur des recherches du laboratoire d'Avast

Un impact sur les URL indexées dans les moteurs de recherche ?
La croissance de Kroxxu pose ensuite un problème de distinction entre les sites malveillants cybercriminels et les sites piratés redistribuant des virus. Cet amalgame pourrait avoir un impact sur les URL des moteurs de recherche qui doivent distinguer les purs virus informatiques et les logiciels malveillants provenant de réseaux zombies. Sachant que le "succès" de Kroxxu, qui tire partie de cette confusion, pourrait inciter d'autres réseaux pirates à suivre ses pas pour prospérer.

Comment se débarrasser d'une infection ?
Alors quelle est la solution pour se débarrasser d'une infection dont Kroxxu est à l'origine ? Il y a plusieurs étapes à suivre : commencer par nettoyer son ordinateur (Kroxxu passe par un logiciel de keylogging), supprimer le code malveillant des pages web et des fichiers Javascript (sachant que Kroxxu utilise une ou plusieurs portes dérobées, le script est présent dans le répertoire d'images). L'alternative étant de réinstaller une version antérieure du site. La procédure est détaillée ici. Ce n'est qu'une fois la désinfection opérée que vous pourrez changer vos mots de passe FTP... et reprendre vos activités normales.

En savoir plus
Le communiqué de presse d'avast !
La présentation complète d'avast

Crédit Photo : Dreamstime | Haywiremedia