L’éditeur de solutions de sécurité G Data a mis la main sur Icoscript, un nouveau code malveillant étant capable d’utiliser quasiment tous les webmails d’Internet pour recevoir des commandes de son serveur de contrôle.
Voila une technique qui paraît innovante en matière de prise de contrôle d’un malware implanté sur les systèmes distants des victimes. D’après G Data, tous les principaux webmails sont gérés et permettent aux pirates à la tête du botnet de communiquer et d’envoyer des commandes au malware. Et c’est plutôt ingénieux !
En effet, les webmails sont par défaut sécurisés et utilisés à titre personnel comme professionnel. Du coup, même les entreprises possédant des firewall internes laissent souvent passer le trafic relatif aux webmails. Grâce à cela, le malware peut discrètement récupérer des commandes envoyées depuis l’extérieur via une simple connexion HTTP/HTTPS. Les experts du G DATA SecurityLabs ont nommé ce code Win32.Trojan.IcoScript.A. Son analyse détaillée a été publiée dans le Magazine Virus Bulletin. Alors que les chevaux de Troie les plus courants utilisent des protocoles de communications spécifiques pour contacter leur serveur de contrôle, IcoScript communique via l’intermédiaire des services de messagerie Web. En pratique, lcoScript se connecte au webmail visé et récupère ses instructions dans un mail préalablement envoyé par l’attaquant.
Cerise sur le gâteau, IcoScript est aussi capable de créer et d’envoyer ses propres mails, toujours en passant par les webmails, afin d’envoyer des données volées sur la machine infectée vers un serveur distant où les pirates pourront facilement les récupérer. En bref, les possibilités d’action de ce code sont larges et difficilement détectables lors d’une analyse de flux réseau.
Tout comme les malwares modernes et sophistiqués, IcoScript est construit de manière modulaire. Grâce à cela, il peut à tout moment changer de moyen de communication, comme l’explique Ralf Benzmüller, Directeur du G DATA SecurityLabs : “Le webmail utilisé est Yahoo !, mais cela pourrait aussi fonctionner avec d’autres services, tels que Gmail ou Outlook.com. Même LinkedIn, Facebook tout autre réseau social pourraient techniquement servir pour la communication“.
Les commentaires sont fermés.