Actu
IcoScript, un malware découvert par G DATA utilise la messagerie Yahoo ! pour recevoir ses instructions.
août 2014 par G DATA
Le nouveau code malveillant IcoScript est capable d’utiliser n’importe quel webmail courant pour recevoir des commandes de son serveur de contrôle. L’accès aux services de webmail étant rarement bloqué dans les entreprises, le cheval de Troie peut recevoir et exécuter des commandes sans être remarqué. Les experts du G DATA SecurityLabs ont nommé ce code Win32.Trojan.IcoScript.A. Son analyse détaillée a été publiée dans le Magazine Virus Bulletin.
Le webmail pour communiquer : une nouveauté
Alors que les chevaux de Troie les plus courants utilisent des protocoles de communications spécifiques pour contacter leur serveur de contrôle, IcoScript communique via les services de messagerie Web. En pratique, lcoScript se connecte au webmail (yahoo ! dans la version du code étudié) et récupère ses instructions dans un email préalablement envoyé par l’attaquant. IcoScript est aussi capable de créer ses propres emails. Ceci afin d’envoyer des données volées sur le poste infecté vers un serveur distant. Les webmails étant rarement bloqués dans les entreprises, les possibilités d’actions de ce code sont larges et difficilement détectables lors d’une analyse de flux réseau. Le code étant modulaire, il peut aussi à tout moment changer de moyen de communication comme l’explique Ralf Benzmüller, Directeur du G DATA SecurityLabs : « Le webmail utilisé est Yahoo !, mais cela pourrait aussi fonctionner avec d’autres services, tels que Gmail ou Outlook.com. Même LinkedIn, Facebook tout autre réseau social pourraient techniquement servir pour la communication ».
Le code en détail
Win32.Trojan.IcoScript.A, dont l’activité a commencé en 2012, est un outil d’administration à distance (RAT) modulaire qui cible les PC sous Windows. Le code malveillant s’injecte généralement dans les processus applicatifs. IcoScript utilise d’autre part l’interface développeur COM (Component Object Model) pour se lier à Internet Explorer ; l’interface COM permet aux développeurs d’utiliser le navigateur de manière transparente dans des applications tiers. Cette fonctionnalité offre aux cybercriminels une opportunité pour compromettre le navigateur sans être remarquée par l’utilisateur (les solutions G DATA détectent IcoSript). Ainsi intégré, le code nuisible utilise les protocoles de communication configurés dans le navigateur.
L’analyse complète publiée dans Virus Bulletin
L’analyse a été publiée dans le Magazine anglais Virus Bulletin sous le titre « IcoScript : Using Webmail to control malware ». Ralf Benzmüller commente : « IcoScript est un code malveillant très inhabituel. Nous sommes ravis que notre article ait été publié dans ce magazine d’experts de renom. Nous considérons cela comme une reconnaissance de nos recherches. Virus Bulletin est un élément important dans le secteur de l’antivirus. Il s’est établi une excellente réputation pour son indépendance, l’information professionnelle sur les logiciels malveillants au cours des années ».
