L'éditeur antivirus Panda Software livre une intéressante étude de MPack, un outil pirate destiné à infecter les visiteurs des sites sur lesquels il est installé.Programmé en PHP, adossé à une base de données MySQL, MPack a tout d'une application web traditionnelle.

Seule différence : son rôle est d'exploiter une vulnérabilité sur le PC des visiteurs afin de leur déposer un code exécutable choisi par le pirate. Pour cela, MPack reconnaît les principaux systèmes d'exploitation, de Windows à MacOS en passant par Linux ou FreeBSD, ainsi que les principaux navigateurs. Chacune de ces combinaison peut se voir délivrer un exploit spécifique en fonction des codes d'attaque embarqués par la version installée.

L'infection dépend donc autant du système d'exploitation et du navigateur du visiteur que de la version de MPack. Mais selon Panda Software, les versions de l'outil se succèdent rapidement et embarquent régulièrement de nouveaux codes d'attaque à jour. Ces mises à jour sont payantes, facturées entre 50 et 150 dollars. Enfin, au moment de l'achat, l'auteur assure que MPack est indécelable par les antivirus du moment. Il propose de mettre à jour cette garantie à chaque nouvelle version pour 50 dollars. Il n'y a pas de doute, le piratage est bien entré dans l'ère du business !

MPack est essentiellement destiné à être installé sur des serveurs contrôlés par les pirates eux-mêmes (site de téléchargement de "cracks" logiciels, par exemple), ou d'autres détournés pour l'occasion afin de piéger leurs visiteurs légitimes. Il peut cependant aussi être déployé sur un site dédié qui ne recevra pas de visiteurs. Dans ce cas, les pirates devront ensuite s'introduire sur d'autres sites légitimes afin d'en modifier une page (souvent celle d'accueil). En y ajoutant des cadres HTML invisibles, ils pourront "inclure" l'attaque issue du serveur initial dans la page.

En bonne application web, MPack offre enfin des tableaux de bords soignés, qui permettent aux pirates de savoir qui, et où, sont leurs victimes et quelles attaques fonctionnent le mieux (ci-dessous).

L'interface web de MPack propose des rapports détaillés du nombre d'infections et de l'origine des victimes. Source : Panda Software.

Cet outil n'exploite cependant pas de vulnérabilité magique : il se contente de "packager" celles déjà publiées, en intégrant leur code de démonstration (nul doute qu'il embarque au minimum celles répertoriées par Metasploit, l'outil préféré de la communauté !). Un ordinateur parfaitement à jour de ses correctifs de sécurité limitera ainsi grandement le risque d'être infecté via ce MPack.

• Le rapport de Panda Software sur MPack (en anglais)
• Entretien avec un spammeur : un autre exemple du "pirate business" (en français)