Ces kits vendus sont composés d'une variété de techniques de piratage, ou séquences de codes, capables de tirer parti des failles logicielles afin de les infecter par des programmes malveillants. Des chercheurs de Seculert ont trouvé au moins deux kits - Incognito 2.0 et Bomba - livrés avec leur propre solution d'hébergement et leur interface de gestion. « Le nouveau business model rend la tâche facile aux cybercriminels qui pouvaient avoir certaines difficultés à sécuriser leur hébergement ou à trouver des FAI prêts à héberger leurs serveurs malveillants, » dit Aviv Raff, CTO et cofondateur de Seculert. L'entreprise offre un service cloud spécialisé chargé d'alerter les clients sur les logiciels malveillants en circulation, les exploits et autres cyber-menaces.

Les offres globales sont destinées aux criminels qui souhaitent atteindre un grand nombre d'ordinateurs tournant sous Microsoft Windows. Une fois les ordinateurs piratés, les machines peuvent être utilisées pour voler des données personnelles, envoyer des spams, mener des attaques par déni de service ou à d'autres choses encore. C'est aussi moins cher. Les clients ne payent que le temps pendant lequel leurs attaques sont actives. « Autrement dit,  si pour une raison ou une autre le FAI décide de fermer les serveurs pirates, ils n'ont rien à payer, » explique le CTO de Seculert. Celui-ci a estimé que ce type d'hébergement et de service coûtait entre 100 et 200 dollars par mois. «Tout est géré par le prestataire de services, » indique Aviv Raff. « Le client ne paye que pour le temps pendant lequel ses attaques sont hébergées. Nous ne connaissons pas les tarifs exacts, mais comme pour n'importe quel autre service cloud, il est clair que cette offre revient beaucoup moins cher que l'achat séparé d'un kit et de son hébergement, » a t-il dit.

Les clients doivent fournir leurs propres malware constituant les exploits à diffuser. Ils doivent également prendre en charge le piratage des sites web à partir desquels ils veulent rediriger leurs victimes vers le serveur malveillant hébergé par les opérateurs d'Incognito. Quand une victime potentielle visite l'un des sites web infecté, une balise iframe active le transfert de contenu à partir des serveurs Incognito d'où sont menées plusieurs attaques contre les machines en vue de réussir une ou plusieurs intrusions.

Les réseaux sociaux et l'actualité comme planche d'appel

Jusqu'à présent, Seculert a dénombré qu'environ 8 000 sites légitimes avaient été piratés et touchés par des exploits hébergés par Incognito. « Certaines victimes sont infectées quand elles vont visiter ces sites selon un mode de navigation normale, » explique Aviv Raff. Les pirates ont également mené des campagnes de spam pour tenter d'attirer les internautes vers ces sites infectés. Comme l'a récemment remarqué Seculert, un de ces messages prétendait venir de Twitter, manifestant son soutien au Japon et invitant les gens à cliquer sur un lien pour voir une vidéo des réacteurs de la centrale de Fukushima endommagée par le tsunami. En réalité, le lien de ce faux message ne débouchait sur aucune vidéo. Au lieu de cela, un cheval de Troie était téléchargé et installé sur l'ordinateur, dans le cas où celui-ci présentait une vulnérabilité logicielle.

« Incognito 2.0 fournit une interface de gestion basée sur le web qui permet aux clients de vérifier combien d'ordinateurs ont été infectés et quel type d'exploit a été utilisé, » ajoute le CTO de Seculert qui a posté des captures d'écran sur son blog. Incognito 2,0 semble en pleine croissance : les chercheurs de Seculert ont pu établir après analyse de son infrastructure, qu'au moins 30 clients utilisaient la plate-forme pour installer toute sorte de malware, depuis le Trojan Zeus de piratage des comptes bancaires, jusqu'aux faux logiciels antivirus et aux chevaux de Troie génériques qui provoquent le téléchargement et l'installation d'autres logiciels malveillants sur un ordinateur infecté. Sur une quinzaine de jours en janvier, au moins 150 000 machines ont été touchées : environ 70 % de ces ordinateurs ont été infectés avec un exploit utilisant une vulnérabilité dans l'environnement d'exécution Java, et 20 % en profitant d'une faille dans Adobe Reader.