Un malware découvert par G DATA utilise la messagerie Yahoo ! pour recevoir ses instructions.
Le nouveau code malveillant IcoScript est capable d’utiliser n’importe quel webmail courant pour recevoir des commandes de son serveur de contrôle. L’accès aux services de webmail étant rarement bloqué dans les entreprises, le cheval de Troie peut recevoir et exécuter des commandes sans être remarqué. Les experts du G DATA SecurityLabs ont nommé ce code Win32.Trojan.IcoScript.A. Son analyse détaillée a été publiée dans le Magazine Virus Bulletin.
Le webmail pour communiquer : une nouveauté
Alors que les chevaux de Troie les plus courants utilisent des protocoles de communications spécifiques pour contacter leur serveur de contrôle, IcoScript communique via les services de messagerie Web. En pratique, lcoScript se connecte au webmail (yahoo ! dans la version du code étudié) et récupère ses instructions dans un email préalablement envoyé par l’attaquant. IcoScript est aussi capable de créer ses propres emails. Ceci afin d’envoyer des données volées sur le poste infecté vers un serveur distant. Les webmails étant rarement bloqués dans les entreprises, les possibilités d’actions de ce code sont larges et difficilement détectables lors d’une analyse de flux réseau. Le code étant modulaire, il peut aussi à tout moment changer de moyen de communication comme l’explique Ralf Benzmüller, Directeur du G DATA SecurityLabs : « Le webmail utilisé est Yahoo !, mais cela pourrait aussi fonctionner avec d’autres services, tels que Gmail ou Outlook.com. Même LinkedIn, Facebook tout autre réseau social pourraient techniquement servir pour la communication ».
Le code en détail
Win32.Trojan.IcoScript.A, dont l’activité a commencé en 2012, est un outil d’administration à distance (RAT) modulaire qui cible les PC sous Windows. Le code malveillant s’injecte généralement dans les processus applicatifs. IcoScript utilise d’autre part l’interface développeur COM (Component Object Model) pour se lier à Internet Explorer ; l’interface COM permet aux développeurs d’utiliser le navigateur de manière transparente dans des applications tiers. Cette fonctionnalité offre aux cybercriminels une opportunité pour compromettre le navigateur sans être remarquée par l’utilisateur (les solutions G DATA détectent IcoSript). Ainsi intégré, le code nuisible utilise les protocoles de communication configurés dans le navigateur.
L’analyse complète publiée dans Virus Bulletin
L’analyse a été publiée dans le Magazine anglais Virus Bulletin sous le titre « IcoScript: Using Webmail to control malware ». Ralf Benzmüller commente : « IcoScript est un code malveillant très inhabituel. Nous sommes ravis que notre article ait été publié dans ce magazine d’experts de renom. Nous considérons cela comme une reconnaissance de nos recherches. Virus Bulletin est un élément important dans le secteur de l’antivirus. Il s’est établi une excellente réputation pour son indépendance, l’information professionnelle sur les logiciels malveillants au cours des années ».
Une version HTML de l’analyse complète, en anglais, publiée par le Virus Bulletin est disponible ici : https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript ou en PDF ici :https://www.virusbtn.com/pdf/magazine/2014/vb201408-IcoScript.pdf
À propos de G DATA
La sécurité informatique inventée en Allemagne : G DATA Software AG peut être considéré comme l’inventeur de l’AntiVirus. Il y a plus de 25 ans, la société, fondée à Bochum en 1985, développait le premier programme pour combattre les virus. Aujourd’hui, G DATA est un des principaux éditeurs de solutions de sécurité informatique.
Les résultats de test prouvent que la sécurité informatique « Made in Germany » offre aux internautes la meilleure protection possible. Stiftung Warentest teste les solutions Internet Security depuis 2005. Dans les six tests effectués entre 2005 et 2013, G DATA a toujours proposé la meilleure détection antivirale. Dans les tests réalisés par AV Comparatives, G DATA démontre là aussi régulièrement de très bons résultats de détection. À l’international, la solution G DATA INTERNET SECURITY a aussi été largement récompensée par des magazines consommateurs indépendants dans les pays tels que l’Australie, l’Autriche, la Belgique, la France, l’Italie, les Pays-Bas, l’Espagne et les États-Unis.
La large gamme des produits G DATA couvre tous les besoins, du particulier à la multinationale. Les solutions de sécurité G DATA sont disponibles dans plus de 90 pays.
Pour plus d’informations à propos de la société et les solutions de sécurité G DATA, visitez www.gdata.fr
Tweeter | ||
Scoop.it |