Parfois, le monde du malware nous donne à penser que l’univers n’est pas dénué de sens de l’humour, contrairement aux acteurs de la malveillance informatique. Par exemple, cela s’est récemment produit lorsque nous avons détecté un e-mail contenant un lien redirigeant vers un site Web proposant la recette d’une délicieuse « salade Tex Mex aux Fritos ». Le sandboxing de l’URL a révélé qu’elle était liée à une page Web infectée renvoyant sur un lien installant… le kit d’exploitation Fiesta.

Bien qu’il s’agisse très probablement d’une coïncidence, on peut se demander jusqu’où certains pirates informatiques malicieux pourraient forcer le trait. Peut-être iraient-ils jusqu’à infecter la page d’une communauté de consommateurs dédiée à la marque de vaisselle Fiesta ?

Plus sérieusement, Fiesta (également connu sous le nom de « Neosploit ») constitue un exemple parfait de kit d’exploitation jouant un rôle essentiel dans l’infrastructure moderne de distribution des logiciels malveillants. Le kit d’exploitation combine plusieurs exploitations permettant de cibler toute une série de vulnérabilités. Il utilise pour cela un serveur qui établit le profil des victimes à partir de la version du système d’exploitation, du navigateur et des plug-ins utilisés. S’il détecte une faille, le kit d’exploitation en profite pour installer l’élément approprié et télécharger une application susceptible d’endommager l’ordinateur. Les kits d’exploitation sont développés par des créateurs de logiciels malveillants, puis proposés sous licence par serveur, ou en tant que service SaaS, aux responsables de l’envoi de phishing et autres.

La souplesse caractérisant les kits d’exploitation rend le nom « Fiesta » tout à fait pertinent, car la marque de vaisselle du même nom a révolutionné son secteur en permettant aux clients d’assortir les couleurs, les formes et la taille de leurs ustensiles selon leur goût et leur décoration d’intérieur. Le kit d’exploitation Fiesta permet lui-même de cibler des vulnérabilités dans Adobe Reader, Adobe Flash, Microsoft Internet Explorer, Silverlight et Oracle Java, sachant que la liste évolue à mesure que de nouvelles failles sont découvertes. Fiesta est l’un des trois kits d’exploitation les plus courants, et semble avoir bénéficié du vide laissé par l’arrestation du créateur du kit Black Hole à l’automne dernier.

Il est intéressant de noter que le kit Fiesta utilise actuellement le fournisseur DNS dynamique « No-ip » pour générer de nouveaux noms d’hôte uniques et ainsi éviter d’être détecté. Microsoft a récemment émis une demande de retrait à l’encontre de No-ip. Cette dernière a été si vivement critiquée que Microsoft a dû faire marche arrière, permettant ainsi à Fiesta d’utiliser à nouveau No-ip.

Associé à des techniques de distribution efficaces telles que la compromission Web ou le phishing de type « longlining », Fiesta et les autres kits d’exploitation représentent une menace puissante pour les données sensibles des entreprises et des consommateurs.

 

==========
Ismet Geri est Directeur de Proofpoint France et Europe du Sud