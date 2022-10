Le cybercrime est une entreprise comme les autres : pour faciliter la vie des professionnels, certains proposent une solution clé en main pour pirater n'importe quel compte. Et pour pas cher en plus.

Un petit groupe de cybercriminels souhaite se lancer dans le métier. Problème, ils ne sont pas assez nombreux, peu expérimentés et ne possèdent qu'un matériel basique. Le projet semble être voué à l'échec mais c'est alors qu'ils trouvent leur solution. Sur un des nombreux forums du darknet, ils découvrent un service nommé Evilproxy, ou Moloch. Grâce à lui, n'importe qui peut pirater un compte même si celui-ci demande une double authentification.

Nos hackers en herbe n'ont plus qu'à choisir une durée d'abonnement, entre 10 et 30 jours. Le coût de cette solution miracle ? 150 dollars pour 10 jours et 400 dollars pour un mois. Un membre du staff du service les contacte sur Telegram pour régler l'achat, et tout est prêt… y compris des vidéos tutos du produit pour chaque plateforme qu'on souhaitera pirater, cette dernière devant être incluse dans l'offre choisie. Il existerait même sur certains forums un SAV qui aiderait le consommateur à bien utiliser le service la première fois. Nos hackers débutants peuvent ainsi commencer leurs larcins. Sans même devoir créer leur propre malware ou phishing.

Comment ça marche ?

Nos cybercriminels débutants sélectionnent une ou des adresses mails cibles. Le service Moloch/Evilproxy envoie à ces cibles des mails demandant aux destinataires de se connecter à leurs comptes Google, Facebook, Microsoft, etc… Ces mails sont très bien conçus et peu de victimes découvrent la tromperie. La cible clique sur le lien de demande de connexion et c'est là qu'opère tout le génie du service. La victime se retrouve sur son portail de connexion habituel, y entre ses mots de passe, son e-mail, et la page de connexion envoie comme d'habitude un code de vérification sur son téléphone. La victime le rentre et accède à son compte. Mais ce qu'elle ignore, c'est que la page web sur laquelle elle se trouvait n'était qu'une copie. Le service Moloch/Evilproxy créée en fait une fausse page web de connexion quasi-identique à l'authentique et génère une relation entre la fausse page et la vraie.

Ainsi quand la victime entre son mot de passe et le code reçu par SMS, les hackers les récupèrent, accèdent de leur côté à la vraie page et se connectent au vrai profil de la victime. Pas d'alerte de connexion lancée par le site ou le réseau social de la victime car les hackers se connectent en même temps qu'elle. Une fois dans la place, les hackers vont méthodiquement voler les données de la victime, et ils peuvent reproduire cette opération autant de fois qu'ils le souhaitent sur leur période d'abonnement. Ce service permet même de berner les systèmes de double identification, car le service les contourne avec la création de la fausse page de connexion.

Le premier de son genre

Si Evilproxy/Moloch est le premier de son genre, parions que ce ne sera pas le dernier, la majorité des hackers étant des personnes "rationnelles" et partisanes du moindre effort… Monter un malware "maison" demande du temps, de l'argent, une bonne connaissance en codage et en développement et une grande équipe. Pour réunir tous ces facteurs, il faut un apport financier conséquent ce que ne possèdent pas tous les cybercriminels. Ajoutons à cela que même si un des malwares fonctionne, les acteurs de la cybersécurité pourraient vite trouver un moyen de le contrer. Reste donc aux hackers l'espoir que leur campagne rapporte assez pour pouvoir réinvestir les gains dans la R&D et créer un nouveau malware pour une nouvelle campagne.

Face à toutes ces incertitudes, l'idée d'inventer un service d'aide au piratage a pris forme dans l'esprit de hackers expérimentés. Celui-ci permet une entrée dans le monde cybercriminel sans apport et sans grandes connaissances dans le développement. Ses créateurs restent très discrets. Ils sont sans doute ravis de voir que leur service fonctionne parfaitement, qu'il rapporte de l'argent sachant que pour le moment, ils n'ont pas eu à développer une version 2.0.

On pourrait se demander pourquoi ce service ne propose pas une offre ransomware. La réponse est simple, développer un ransomware demande beaucoup d'investissements et le matérialiser sous forme de service est compliqué. Certains groupes de cybercriminels spécialisés dans le ransomware proposent un système de franchise, les franchisés devant leur reverser une partie de leurs bénéfices. Franchise, abonnement, un secteur comme un autre en somme…