Depuis l’arrivée de Free sur le marché de la téléphonie mobile, les opérateurs ont littéralement cassé les prix de leurs...
G Data analyse un malware qui raffole des webmail
Publié leWin32.Trojan.IcoScript.A a fini de jouer à cache-cache. En effet, depuis 2012, ce programme malveillant réussit à passer entre les mailles du filet des antivirus sans laisser la moindre trace, mais sa filature prend fin puisque les experts en sécurité informatique viennent tout juste de l’intercepter. Focus sur ce malware pas comme les autres.
Win32.Trojan.IcoScript.A et son fonctionnement
Ce malware est un outil d’administration à distance tout à fait classique (RAT). Mais sa particularité réside dans le fait qu’il communique d’une façon inhabituelle avec son serveur de contrôle. Extrêmement modulaire, Win32.Trojan.IcoScript.A touche les plateformes Internet les plus populaires comme Yahoo ou Gmail, afin de les commander et de prendre le contrôle sur les diverses communications. Unique en son genre, G Data, plus particulièrement Paul Rascagneres, a analysé le fonctionnement de ce malware ; ses différentes techniques sont présentées dans les paragraphes qui suivent.
COM ou le point d’entrée
L’interface de communication inter-processus conçu par Windows ou COM – pour Component Object Model – est une technologie qui permet aux développeurs de contrôler les navigateurs. Elle est alors très prisée des cybercriminels qui n’hésitent pas à créer des programmes malveillants pour manipuler les navigateurs des internautes.
La manipulation du navigateur
Afin de comprendre comment est manipulé le navigateur par Win32.Trojan.IcoScript.A, nous devons d’abord analysé la technologie COM lorsqu’elle n’est pas infectée. Voici ci-dessous un aperçu de COM pour avoir le contenu d’une page web :
Dans le cas de Win32.Trojan.IcoScript.A, celui-ci utilise les fonctions CoInitialize () (indiqué par OleInitialize () dans l’exemple ci-dessus) et CoCreateInstance (). Le premier sert à initialiser la bibliothèque COM dans l’unité d’exécution du processeur, tandis que le deuxième sert à représenter l’objet, associé à un CLSID spécifique, qui doit être manipulé. Ainsi dans l’exemple ci-dessus, il s’agit d’Internet Explorer.
Le fonctionnement de Win32.Trojan.IcoScript.A
La mise en route du malware et son cheminement est dû à un langage en script crée par les cybercriminels. Ce script est crypté et est caché dans un fichier additionnel perçu comme un fichier de configuration. Voici un aperçu de ce script :
Afin de déchiffrer ces données, G Data est passé par un script Python, qui est un langage de programmation spécialisée objet. En voici un aperçu :
Le script décrypté, G Data se retrouve face à une action qui se déroule étape par étape. Chacune d’entre elles est représentée par une équation mettant en scène une variable qui est égale à une valeur. Souvent cette valeur correspond à une liste d’actions à réaliser. Le tableau ci-dessous permet de comprendre ce qui peut se passer durant la lecture du script :
Son aspect modulaire
Le script pris en exemple ci-dessus est un exemple. Ainsi G Data a analysé un cas où c’est le service de messagerie Yahoo qui est touché ; mais Win32.Trojan.IcoScript.A peut infecter d’autres messageries comme Gmail ou des services de réseaux sociaux comme Facebook ou LinkedIn. Ce choix n’est pas pris au hasard. En effet les cybercriminels savent qu’ils ne s’agissent pas de sites blacklistés et ont donc mis au point un système modulaire.
Extrêmement intelligent, les solutions de sécurité sont face à un malware qui peut toucher plus d’une centaine de services de messagerie en utilisant des ID et des mots de passe semblables à des vrais. Cela rend donc la tâche difficile aux systèmes de détection d’intrusion (IDS).
Comment y remédier ?
Win32.Trojan.IcoScript.A n’est pas un RAT comme les autres. Modulaire, difficile à cerner et crypté, ce malware est la référence en termes de communication entre machines infectées et serveurs de contrôle. Par ailleurs, il touche les sites accessibles à tous et depuis n’importe quel ordinateur ; ce qui rend leur blocage impossible par les IDS.
La solution peut être une détection du code installé sur le poste en temps réel ; toutefois ce processus est difficile à réaliser… Aujourd’hui, les éditeurs de suites de sécurité penchent toujours sur la question, et G Data avance qu’il existe une réelle solution puisque le code a été détecté.
User Review
( votes)Autres articles sur le même sujet
Cette année encore, Kaspersky a été l’un des premiers éditeurs à proposer une nouvelle version de son antivirus. La gamme…
Nous y sommes ! Reportées à cause de la crise sanitaire, les soldes d’hiver débutent ce mercredi 20 janvier. Les…
Un énième bug de Windows 10 engendre un écran bleu, le fameux BSOD (Blue Screen Of Death), lorsque l’utilisateur tente…
WhatsApp est dans la tourmente depuis quelques jours. L’annonce de la mise à jour de la politique de confidentialité a…
Laisser un commentaire