Un étudiant risque la prison pour avoir créé un malware keylogger

Un étudiant, qui a créé et commercialisé un malware keylogger alors qu’il était encore à l’école secondaire en Virginie du Nord, a plaidé coupable mi-janvier, et risque une peine de prison.

Selon un communiqué du ministère américain de la Justice (DOJ), Zachary Shames, 21 ans, a plaidé coupable à des accusations d’aide et d’encouragement à l’intrusion au sein d’ordinateurs.

Selon l’énoncé des faits déposés pendant le plaidoyer, et que Vice de Motherboard a publié, Shames a conçu, commercialisé et vendu “un malware keylogger spécifique“, à compter du mois d’août 2013, alors qu’il était encore au lycée.

Un expert en sécurité a déclaré à Vice qu’il avait trouvé la preuve que le “malware keylogger spécifique” décrit de façon vague était en réalité “Limitless Keylogger Pro” : un keylogger maintenant obsolète qui était vendu 35 $ sur le forum populaire de hacking : Hack Forums.

Pour ce prix-là , les acheteurs bénéficiaient d’un abonnement à vie, payable par bitcoin ou PayPal.

Voici la vidéo marketing/téléchargement/tutoriel disponible sur YouTube :

Shames a vendu son malware keylogger à plus de 3 000 personnes, qui ont à leur tour infecté les ordinateurs de 16.000 personnes, selon le ministère de la Justice. Selon la police, une fois à l’université, il a continué à travailler sur le malware et à le commercialiser depuis sa résidence universitaire.

Selon Lorenzo Franceschi-Bicchierai de Motherboard, le programme Limitless Keylogger avait été présenté sur Hack Forums par un utilisateur dénommé Mephobia, le 14 mars 2013.

Vice en a déduit que Shames était derrière Limitless Keylogger, étant donné qu’en 2011 Mephobia avait également présenté un bot, programmé pour se propager à travers Omegle, un service de chat pour adolescents.

Mephobia a prétendu que le bot avait été créé par ROCKNHOCKEYFAN. Il existe aussi un profil sur Quizlet, un site dédié à des outils d’apprentissage, qui faisait apparaitre le nom de “rocknhockeyfan”, et qui appartient apparemment à Shames. De plus, selon Vice, il existe un autre fil d’actualité sur Hack Forums dans lequel Mephobia a publié un historique de discussions qui révélait sa vraie identité, à savoir Zach Shames.

Le Washington Post a rapporté que Shames est en première année à l’université James Madison, où il prépare un diplôme en informatique. Il est diplômé du lycée Langley, dans le comté de Fairfax, en Virginie.

Selon son profil LinkedIn, Shames a eu deux emplois : en tant que stagiaire pour une entreprise de sous-traitance du secteur de la défense, Northrop Grumman de mai 2015 à août 2016 et comme stagiaire en informatique pour la société de services Neustar de mai à août 2014.

Pendant cette période, son malware keylogger Limitless Keylogger est devenu de plus en plus puissant. Son développeur a ajouté des fonctionnalités incluant un builder dédié, la possibilité de télécharger des données volées sur un serveur FTP (ou de les envoyer par courrier électronique à son opérateur), et la possibilité de récupérer des données et des mots de passe à partir d’un hébergeur d’applications : Chrome, Firefox, Opera, Safari, Bitcoin Wallet, EpicBot, Spotify, Minecraft, Rarebot, RSBot, FileZilla, Core FTP, Smart FTP, DynDNS, Nimbuzz, Pigdin, Imvu, MSN et Internet Download Manager.

Un malware keylogger comme Limitless est à la recherche des identifiants de ses victimes, les noms d’utilisateur et les mots de passe, pour accéder aux e-mails, réseaux sociaux, et/ou comptes bancaires, afin et de dérober de l’argent sur ces comptes.

Comme son laïus marketing l’explique, Limitless s’est vu finalement de la capacité d’intercepter le contenu du presse-papiers. Alors que les gestionnaires de mot de passe ont des fonctions de nettoyage du presse-papiers, Limitless annonçait une fonction d’enregistrement de ce dernier, comme un moyen d’obtenir des mots de passe qui sont copiés et collés à partir de KeePass, par exemple.

Ainsi, si quelqu’un utilise un outil comme KeePass pour stocker ses mots de passe, comme moi, ils peuvent se connecter aussi, et vous obtenez le mot de passe des victimes.

Au-delà du simple fait de contourner la protection offerte par un gestionnaire de mot de passe, il existe beaucoup de données sensibles qui sont copiées et collées dans un presse-papiers. Comme nous l’avons écrit récemment à propos de keyloggers toujours bien vivants et actifs, les presse-papiers sont utilisés pour des éléments à l’importance immédiate : la copie et le collage du texte d’emails dans des documents, ou vice versa, par exemple.

Cela peut concerner des informations extrêmement sensibles dans un contexte professionnel.

En bref, ce type d’outil donne les moyens à de “mauvaises personnes” de commettre des actes pour de “mauvaises raisons”. Pour le modique somme de 35 $, un novice en script peut prendre un outil comme Limitless et l’utiliser pour facilement voler des informations auprès de ses victimes, avec aucune compétence en hacking requise.

16 000 ordinateurs infectés paraissent représenter très peu quand vous les comparez avec les méga failles de sécurité concernant des millions de comptes, que nous avons vu récemment chez Yahoo et LinkedIn, parmi tant d’autre bien sûr.

Cependant, une attaque par un malware keylogger implique d’autres conséquences. Les cybercriminels n’obtiennent pas seulement des identifiants pour un compte, dans le pire cas, ils obtiennent tous les identifiants de chaque compte, avec une quantité massive de données personnelles, des documents d’entreprise, et les communications personnelles associées.

Shames risque un maximum de 10 ans de prison, bien que les peines maximales soient rarement prononcées. Le verdict doit être rendu pour le 16 juin.

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Un étudiant risque la prison pour avoir créé un malware keylogger : http://wp.me/p2YJS1-3dY
Billet inspiré de Student keylogger creator faces jail after pleading guilty, par Lisa Vaas, Sophos NakedSecurity.