Tanya Shafir, chercheur en sécurité chez Trusteer a récemment identifié une variante active de TorRAT ciblant les utilisateurs de Twitter. Outre la diffusion silencieuse de messages non sollicités sur l’un des réseaux sociaux les plus populaires, les cybercriminels vont plus loin en tentant la propagation de logiciels malveillants.
Le malware effectue une attaque de type Man-in-the-Browser (MitB) contre le navigateur de la machine infectée, interceptant alors l’accès au compte Twitter de la victime pour créer tweets malveillants.
Du fait que le malware crée des tweets malveillants et les envoient via un compte compromis d’une personne ou d’un organisme de confiance possédant de nombreux followers (biens réels), les tweets semblent être authentiques. C’est là tout l’effet dévastateur du système ! Ces tweets contiennent des liens malveillants du type “Notre nouveau roi William va gagner encore plus de Beatrix. Vérifiez son salaire !” ou “Beyonce tombe pendant le concert du Super Bowl, très drôle!!“.
Pour le moment, l’attaque vise plus particulièrement les utilisateurs néerlandais. Le malware se diffuse via le service de réseautage sociaux en ligne, utilisé comme un malware financier (trojan bancaire, ndlr) dans le but d’avoir accès aux informations d’identification bancaire des utilisateurs et cibler leurs transactions financières.
L’attaque est effectuée en injectant du code Javascript dans la page du compte Twitter de la victime. Le malware récupère alors le jeton de sécurité de l’utilisateur authentifié, ce qui lui permet de faire des appels autorisés via les API de Twitter, puis de publier de nouveaux messages, des tweets malveillants au nom de la victime.
Difficile de se défendre efficacement, étant donné que le malware utilise une nouvelle approche encore plus sophistiquée de l’hameçonnage (ou phishing, ndlr). A noter que les techniques de “spread” (visant à propager un programme malveillant, ndlr) évoluent et tendent à s’automatisées. Autre que les réseaux sociaux, on peut notamment citer “l’auto-spread” via BitTorrent, très en vogue chez les cyber-criminels en ce moment. UnderNews a d’ailleurs pu identifier quelques services loués à l’heure sur le BlackMarket.
“Ce type d’attaque augmente le besoin d’une technologie de prévention d’exploit au sein de l’entreprise, notamment en bloquant l’exploitation des applications des utilisateurs finaux vulnérables, comme les navigateurs, et en prévenant le téléchargement de logiciels malveillants, ce qui empêcherait les logiciels malveillants de se propager et d’infecter plus d’utilisateurs“, a ajouté l’entreprise.