L’Anti-phishing working group (APWG) a publié le 10 mai 2010 son rapport portant sur le second semestre de l’année 2009 des activités de détection et de lutte contre le phishing. Le groupe surnommé Avalanche aurait été derrière 2/3 des attaques de phishing sur cette période, avant de pratiquement disparaître.
Résumé (page 3 du rapport) des informations principales de ce rapport :
- Le groupe surnommé « Avalanche » aurait été responsable de 2/3 des opérations de phishing au cours du second semestre 2009 ;
- Les actions menées contre Avalanche ont fait baisser la moyenne de la durée de vie des sites de phishing par rapport au premier trimestre, mais cela cache de plus mauvais résultats contre les activités extérieures à Avalanche ;
- Le nombre d’adresses IP ou de noms de domaine utilisés pour le phishing est resté stable au cours des 2,5 années passées, alors que le nombre de noms de domaines enregistrés a progressé ;
- 5 TLD concentrent l’essentiel des actions de phishing (.be, .com, .eu, .net et .uk) ;
- Les noms de domaine internationaux (utilisant des caractères d’autres alphabets) ne sont pas encore exploités significativement par les phishers ;
- Les phishers continuent d’utiliser massivement les services des sous-domaines (possibilité d’ouvrir gratuitement ou non des noms de domaines subalternes, comme chez t35(.)com qui a été le plus utilisé au cours de cette période).
Résumé des statistiques relevées par l’APWG :
- 126.697 attaques de phishing, soit plus du double par rapport au premier semestre 2009 ;
- 28.775 noms de domaines distincts ont hébergé ces attaques, soit une valeur en baisse constante par rapport aux périodes précédentes ;
- 66% des domaines enregistrées de façon frauduleuse pour commettre ces attaques (4.141 sur 6.372) l’auraient été par le groupe Avalanche.
Avalanche
Avalanche est un groupe spécialisé dans les campagnes de phishing qui gère une véritable infrastructure. Ils seraient ainsi responsable, selon l’APWG de 84.250 des 126.697 attaques de phishing relevées au cours du second semestre 2009, qui ont ciblé une quarantaine de marques au cours de cette période. La fin de l’année a vu une chute de son activité.
Les domaines gérés par Avalanche sont hébergés sur des botnets composés essentiellement d’ordinateurs individuels de particuliers. Cela rend les mesures de réaction complexes, parce qu’aucun hébergeur ou fournisseur de services Internet n’est capable d’agir directement sur les pages de phishing.
Le fonctionnement du bot utilisé par Avalanche est assez simple : il se compose de deux fichiers (et d’une clé de registre Windows), il écoute sur le port 80 réservé aux connexions Web et relaie la demande vers le serveur qui héberge réellement la page de phishing.
En outre, Avalanche a été utilisé pour diffuser une forme du logiciel malveillant Zeus, qui sert à collecter des données personnelles en espionnant la machine infectée.
Les campagnes de phishing d’Avalanche sont assez semblables au cours du temps, avec l’enregistrement de noms de domaines dédiés, l’utilisation de sous-domaines sur les domaines qui restent actifs suffisamment longtemps et l’émission de campagnes de spam. Malgré les réactions coordonnées des différents acteurs concernés (dont les bureaux d’enregistrement), Avalanche semble avoir été très profitable.
Dancho Danchev relève sur son blog qu’il existerait une relation forte entre les opérations du groupe Avalanche et l’opérateur Troyak AS qui aurait été déconnecté de l’Internet au mois de Mars (voir encore le blog de Dancho Danchev).
Il semble que les activités d’Avalanche aient nettement ralenti, mais comme de nombreux indices permettent d’entrevoir un lien avec les activités d’un précédent groupe de phishing, Rock Phish, on peut légitiment supposer que les criminels derrière Avalanche ne tarderont pas à relancer leurs activités sous une nouvelle forme.
Conclusion
Outre, la renaissance attendue d’Avalanche, les spécialistes de l’APWG prédisent une progression de l’usage des services de raccourcissement de liens (comme le fameux bit(.)ly).