Bienvenue sur le blog Vers et Virus

Pour mieux tirer partie des informations collectées par les keyloggers ou les password stealers, les cyber-criminels cherchent à localiser géographiquement leurs victimes. Cette nouvelle technique est sans doute liée à l’emploi d’intermédiaires locaux (les mules) recrutées pour faciliter la récupération des fonds accessibles à la suite d’un piratage. Les mules sont, en effet, choisies pour leur proximité géographique (même pays, même état) d’avec la victime. 

A l’occasion d’une récente attaque découverte par ma collègue Élodie Grandjean, et décrite sur le blog McAfee nous avons pu comprendre comment pouvait se dérouler le processus d’identification. Sur chaque ordinateur infecté, une routine avait la charge de récupérer des informations sur la localisation de la machine infectée en fonction de son adresse IP. Ceci se faisait par l’intermédiaire d’une requête javascript sur l'un des sites des pirates.
Les informations obtenues étaient ensuite stockées dans la base de registre locale :

• HKLM\System\CurrentControlSet\Control\InitRegKey\geoinfo
  - iso
  - country
  - region
  - city
  - latitude
  - longitude
  - ip

Certains fichiers au format texte, contenant les informations détournées et envoyées vers le site collecteur, contenaient alors une retranscription des coordonnées géographiques.

PC Name = JOHN-3GR6524FRHN
PC IP = 82.22.97.32
PC Country/ISO/Region/City = france/fr/a3/paris
PC Location longitude/latitude = 2.3333/48.8667
Log Creation = 2007/05/21 13:22:05

Vous saviez déjà qu’un ordinateur vulnérable était un livre ouvert pour les pirates: ils peuvent intercepter toute sorte d’informations confidentielles qui y transitent. Sachez maintenant qu’ils peuvent vous localiser. Si vous envoyez un e-mail à un ami lui disant « la clé est sous le paillasson », méfiez vous, la maison au paillasson est visible depuis Google Earth. Les images suivantes ont été réalisées à l’aide des coordonnées géographiques capturées par les pirates et interceptées par nous.