Les cybercriminels ratent rarement une occasion pour infecter les ordinateurs avec des logiciels malveillants, même s'ils doivent pour cela cibler d'autres soi-disant contrevenants à la loi. C'est ce qui ressort d'une recherche effectuée par l'éditeur de solutions de sécurité Symantec. Récemment, ces cybercriminels ont modifié Slowloris, un outil pour mener des actions de déni de service distribué (DDOS) pour y inclure un client Zeus, un bout de code malveillant bien connu capable de subtiliser logins et mots de passe de connexions à des services bancaires en ligne notamment. Selon Symantec, les cybercriminels destinaient spécifiquement le malware aux supporters d'Anonymous.

Le groupe d'hacktivistes, bien connu pour ses campagnes anti-gouvernementales et anti-entreprises, a pour habitude soit de divulguer des données sensibles après le piratage des sites visés, soit de perturber les sites Internet des organismes ciblés en les saturant de trafic. Pour ces actions, le groupe s'appuie souvent sur le support d'internautes partout dans le monde qui utilisent des outils DDOS recommandés par Anonymous. En mai 2011, sur le site Pastebin, les Anonymous avaient encouragé leurs supporters à télécharger un outil DDOS  du nom de Slowloris. Leur message avait rapidement fait le tour de l'Internet, at avait été relayé jusque sur Twitter.

Un outil trafiqué pour tromper les internautes

Mais Symantec a découvert que les cybercriminels avaient recopié mot pour mot le message et l'avaient reposté à nouveau le 20 janvier. Sauf que cette fois, le lien vers l'outil DDOS Slowloris préconisé par les Anonymous dirigeait les internautes vers une version malveillante de Slowloris. L'opération a été réalisée le jour même où le site de partage de fichiers Megaupload a été bloqué par les agences fédérales de plusieurs pays et où Anonymous a lancé une campagne de protestation pour défendre le site de téléchargement illégal. « Le lien redirigeant vers la version trafiquée de Slowloris est également apparu dans un mode d'emploi qu'Anonymous a publié pour expliquer comment mener des attaques par déni de service, lequel a également été relayé sur Twitter, » a déclaré Symantec. Le vendeur de solutions de sécurité a constaté que dans le cas où l'internaute téléchargeait et exécutait l'outil modifié Slowloris, le malware tentait ensuite de dissimuler l'infection en téléchargeant la vraie version de l'application.

Non seulement le pirate qui prend le contrôle de la machine infectée vole les informations de connexion aux sites bancaires de ses victimes, ses cookies et ses identifiants de messagerie, mais il mène aussi depuis la machine des attaques DDOS contre les pages web en soutien à Anonymous. « D'un côté, les partisans du groupe d'hacktivistes enfreignent la loi en participant à des attaques DDOS sur des cibles désignées par Anonymous, mais ils prennent aussi le risque de se voir subtiliser leurs codes de connexion aux services en ligne de leur banque et leurs identifiants de messagerie », écrit encore Symantec.