Qui, ou qu’est NightHunter? Et que veut ou veulent-ils ? Des chercheurs en sécurité ont découvert la semaine dernière que depuis les cinq dernières années, un groupe mystérieux vole les identifiants des utilisateurs de Facebook, Dropbox, Skype, Amazon, LinkedIn, Google, Yahoo, Hotmail, le portal web indien Rediff et quelques banques. Baptisée NightHunter, la campagne semble avoir amassé une base de énorme base de données d’informations volées.
Les objectifs des attaques restent obscurs. NightHunter n’a pas de cible, simplement intéressé dans la collecte d’autant d’identifiants que possible, selon Cyphort, une entreprise de sécurité basée en Californie, qui a découvert et nommé NightHunter.
La campagne NightHunter comporte différents types de keyloggers, dont Predator Pain, Limitless et Spyrex. Ce qui différencie NightHunter — et qui l’a rendu si difficile à suivre — est le fait que le keylogger envoie les données captures aux criminels d’une façon inhabituelle : par email.
La plupart des malware communique avec ses opérateurs en utilisant des protocoles Web comme le HTTP ou IRC (Internet Relay Chat). Mais le malware de NightHunter utilise le protocole d’email SMTP, qui existe depuis 1982. SMTP « est obsolète et souvent négligée, donc ça peut être un moyen plus discret pour voler des données » a écrit McEnroe Navaraj (Cyphort) dans un blog de l’entreprise révélant les découvertes.
La méthode préférée par NightHunter pour infecter les ordinateurs cibles semble être réalisée par le biais d’emails de phishing, dit Navaraj. Ces emails sont envoyés au personnel des départements de finance, de ventes, et des ressources humaines de toutes sortes de grandes entreprises ou organisations, et contient des pièces jointes .doc, .zip ou .rar, parfois avec un faux IDM (Internet Download Manager) ou installeur 7zip contenu dedans. Certains des emails de phishing sont créés de façon à ressembler à ceux d’agents revendeurs de biens.
En plus d’enregistrer ce qu’a tapé l’utilisateur sur son clavier, le malware de NightHunter rassemble et envoie des informations concernant les navigateurs Web, les clients de messagerie instantanée et d’email, les gestionnaires de mots de passe, les porte-monnaie Bitcoin ou les jeux vidéos présents sur un ordinateur infecté.
Depuis 2009, NightHunter a amassé tellement d’informations sur les identifiants des utilisateurs des services en ligne mentionnés ci-dessus que, selon Cyphort, quiconque est derrière la campagne pourrait faire de sérieux dégâts.
« Le risque d’analyse et de corrélation des données volées pour créer des attaques très ciblées et destructrices est élevée », écrit Navaraj dans le blog. « Les acteurs derrière NightHunter peuvent utiliser la richesse de leur données volées pour démultiplier les données et créer de nouvelles cybermenaces, pour des raisons d’extorsion, de fraude de carte bancaire, pour voler des secrets d’état ou de l’espionnage industriel. »