Coup de filet de la police chinoise contre les auteurs du malware Fireball

Coup de filet de la police chinoise contre les auteurs du malware Fireball

Une vaste zone grise

Avatar de l'auteur
Vincent Hermann

Publié dans

Internet

27/07/2017 5 minutes
19

Coup de filet de la police chinoise contre les auteurs du malware Fireball

Les auteurs présumés des malwares Fireball ont été arrêtés à Pékin le mois dernier. Accusés d’avoir eu recours à des méthodes criminelles pour diffuser de la publicité et collecter des données personnelles, ils ont avoué devant la justice chinoise. Ils auraient réussi à accumuler plus de 10 millions d'euros en moins de deux ans.

Plutôt qu’un malware, Fireball désigne une véritable famille de logiciels malveillants. Youndoo, Trotux, Startpageing123, Luckysearch123, Hohosearch ou encore Yessearches en font partie, et tous ou presque ont les mêmes objectifs.

Check Point, qui a suivi de près l’affaire, indiquait dans un rapport du 2 juin qu’environ 250 millions d’ordinateurs, PC et Mac, avaient été touchés par l’un des membres de cette famille. Un chiffre remis en cause par Microsoft qui, dans un autre rapport le 22 juin, indiquait que le nombre de machines infectées devait se situer aux alentours de 5 millions. La dangerosité était, elle, confirmée.

La police chinoise n’a cependant pas attendu de savoir qui avait raison.

Une question de business

Le rapport de Check Point pointait en effet du doigt une entreprise bien particulière : Rafotech. Basée à Pékin, elle était suspectée d’être à l’origine de tous les malwares mentionnés précédemment, dans le but essentiellement de faire afficher de la publicité par des moyens détournés. Une suspicion qui n’a rien d’extraordinaire, tant la pratique a déjà été vue, notamment sur Android.

C’est cette entreprise qui a été perquisitionnée par les forces de police chinoises. Selon l’agence de presse JRJ locale, les agents ont arrêté 14 employés, dont les trois principaux responsables : le PDG, le directeur technique et le directeur de l’exploitation. Sur ces 14 personnes, 9 auraient été arrêtées alors qu’elles tentaient de supprimer des données de leurs ordinateurs. Toujours selon la police chinoise, la totalité des suspects auraient avoué.

Selon les estimations actuelles des forces de l’ordre, 80 millions de yuans (un peu plus de 10 millions d’euros) auraient été générés par les activités illégales basées sur les malwares.

Pirater les internautes via leurs navigateurs

Le principal vecteur de diffusion pour Fireball était l’inclusion dans des paquets existants. Le malware était ainsi introduit en bundle avec une autre application, une pratique malheureusement courante selon Check Point.

Selon la société en effet, des entreprises ont fleuri pour exploiter une zone grise dans la plupart des cadres juridiques. Les adwares n’étant pas considérés comme criminels – à la grande différence des malwares – elles proposent des services gratuits et souhaitent s’alimenter en données personnelles en retour. Mais le bundle contient des « fonctionnalités supplémentaires » qui, si l’utilisateur les installe, peuvent très bien contenir cette fois des malwares.

fireball malware
Crédits : Check Point

Une fois en place, Fireball installe des extensions dans les navigateurs et modifie leur configuration pour changer le moteur de recherche et la page de démarrage. Ce n’est que le début puisque le malware peut ensuite réaliser de nombreuses opérations : espionnage du trafic web, redirection, récupération d’autres malwares, exécution de code arbitraire et ainsi de suite.

Au centre du dispositif, on trouve de faux moteurs de recherche qui redirigent les requêtes vers Google ou Yahoo. Ces faux moteurs cherchaient également à afficher des publicités frauduleuses pour générer des revenus, tout en espionnant les habitudes de navigation via des pixels de tracking.

Une goutte d’eau

Pour la police chinoise, c’est bien le rapport initial de Check Point le 2 juin qui a mis le feu aux poudres. Dès le lendemain en effet, elle recevait une plainte anonyme visant Rafotech. La police aurait alors procédé à une enquête qui aurait rapidement montré l’ampleur des activités. Les arrestations ont eu lieu dès le 15 juin. L’information n’a visiblement pas été donnée à la presse avant que les suspects n’avouent devant la justice.

Pour autant, ces activités se répandent au sein de structures conçues dans l’idée même de jouer sur les flous juridiques et autres zones grises. Ces entreprises sont nombreuses et opèrent pratiquement au grand jour. Le site officiel de Rafotech (qui n’est plus en ligne) n’hésitait ainsi pas à revendiquer sa capacité à atteindre 300 millions d’internautes pour diffuser des contenus marketing. Un chiffre d’ailleurs assez proche des 250 millions de machines pointées par Check Point.

Selon le Beijing Times en tout cas, la police serait bien décidée à faire un peu de ménage dans ce domaine. À voir donc dans les mois et années à venir si la quête sera couronnée de succès. 

rafotech fireball

19

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une question de business

Pirater les internautes via leurs navigateurs

Une goutte d’eau

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (19)


On peut bien reconnaitre une qualité à nos amis chinois. Quand ils décident de faire le ménage, ils n’y vont pas par quatre chemins. Je ne me fait pas de soucis pour eux :)




des entreprises ont fleuri pour exploiter une zone grise dans la plupart des cadres juridiques. Les adwares n’étant pas considérés comme criminels – à la grande différence des malwares – elles proposent des services gratuits et souhaitent s’alimenter en données personnelles en retour.





Je ne vois pas trop où est la “zone grise”. La pub, les régies pub et l’affichage des pubs dans les logiciels sont les fondements de l’Internet gratuit. Le deal a toujours été clair sur ce point là.



Dés lors qu’un logiciel, quel qu’il soit, s’installe à l’insu de l’utilisateur, on franchit la ligne rouge.








127.0.0.1 a écrit :



La pub, les régies pub et l’affichage des pubs dans les logiciels sont les fondements de l’Internet gratuit.





C’est libre à chacun d’accepter des pratiques peu louables comme fondement.

Moi, la sodo, j’ai toujours refusé.

Poliment, mais non, internet gratuit n’est pas que la relation avec un enleur de poneys comme tu prétends. Il existe autre chose.

<img data-src=" />



Internet gratuit : Ah bon ! Ce n’est pas ce que je pensais !


Pratiquement tout ce qui était en accès gratuit était payé par de la pub. Au point de voir l’émergence des AdBlock remettre en cause le modèle de l’internet gratuit.



Je veux bien faire une exception pour:




  • La “page perso” hébergée sur les qqs Mo fournis par le FAI (donc payé par l’utilisateur)

  • Les projets payés par des donateurs (devenus des “fondations” pour ceux qui ont survécu)

  • Les projets payés par des emprunts (qui ont été rachetés ou liquidés suivant les cas)


Ça a été le gros essor commercial qui a motivé toutes les compagnies qui voulaient en vivre post 2000.

Mais il existe aussi une pléthore d’assos ou de particuliers qui se servent de ce média sans pour autant monayer l’activité.

Ça n’est pas une exception, c’est et ça restera l’usage “ad hoc”

<img data-src=" />


Bonjour, j’ai du mal à saisir ton propos.



Pour moi, l’Internet est payant car je souscrit à un abonnement mensuel auprès d’une entreprise qui m’y donne accès. Le service de ma banque, je le paie, le service public, je le paie.



Après, c’est le choix de chaque éditeur de recourir au modèle économique et au consommateur de choisir s’il y adhère. Je décide ainsi de verser un abonnement à NXi mais pour le moment, je refuse de payer des journaux qui souvent passent leur temps à recopier de la dépêche AFP.


Ce qui est payant c’est l’accès à Internet (d’ou le terme “fournisseur d’accès à internet”).



Une fois sur internet, tu as accès à des centaines de million de sites web pour lesquels tu ne paye rien ni directement (paywall) ni indirectement (taxe/impot).



Si internet s’était limité aux seuls services que tu payes (banque, administration), ca n’aurait pas eu l’essor économique qu’on connait.


C’est parce que vous parlé pas de la même chose.



Toi tu pense entrée, lui il parle de contenu.








127.0.0.1 a écrit :



Je ne vois pas trop où est la “zone grise”.





Le texte en gris écrire en taille 5 juste au dessus d’un bouton next dans un installeur d’un logiciel, ce petit bout de texte qui t’explique tout!



<img data-src=" /> bien vu… <img data-src=" />


Attention a ne pas confondre un adware qui est un logiciel qui modifie le comportement d’autres logiciels installés et la pub présente sur le net. J’ai comme l’impression qu’il y a une confusion…



Je pense plutôt que la zone grise tiens du fait que si l’adware a été installé c’est que tu as donné ton accord pour te faire pourrir par la pub. Et comme dit dans l’article l’adware se rémunère sur la pub qu’il t’affiche/vers laquelle il te redirige. Un peu comme les régies de pub des différents sites que tu visites.


Si vous ne payez pas alors en général, le produit, c’est vous.



Et non, payer un FAI ce n’est pas payer internet. Du moins pas à 20€/mois…


C’est de plus en plus rare de voir des criminels avoyer leur méfaits. Et ici, ils avouent tous ! Maintenant va savoir ce qu’ils ont appliqué comme technique pour les faire avouer. La mort ou tchétché ?








letter a écrit :



Si vous ne payez pas alors en général, le produit, c’est vous.







Un rapport avec la news “Face à Windows Defender, Kaspersky lance une version gratuite de son antivirus” ?



<img data-src=" />



Pas frocément. La c’est plutôt “quand vous ne vous en passerez plus et qu’il faudra prendre une version payante, prenez la notre”. MS disait bien “C’est pas bien de pirater, mais si vous DEVEZ le faire, piratez des produits MS”.

C’est plus de la pub pour le coup. Adobe l’a bien compris en ne poursuivant pas les étudiants qui piratent ses licenses.


@minusxule : les aveux en Chine comment dire…. J’ai il y a un moment que le taux de personnes déclarées coupable était de l’ordre de 99%pour une personne inculpée








MinusCule a écrit :



C’est de plus en plus rare de voir des criminels avoyer leur méfaits. Et ici, ils avouent tous ! Maintenant va savoir ce qu’ils ont appliqué comme technique pour les faire avouer. La mort ou tchétché tchitchi ?







<img data-src=" />



C’est à peu près le tôt de plaider coupable dans les affaires amenés en justice par le FBI aux USA (de l’ordre de 95% je crois). Comme quoi la Chine est une démocratie plus avancée <img data-src=" />