Trend Micro, société de cybersécurité japonaise, a découvert un malware puisant ses instructions dans des images publiées sur Twitter.

Un malware affectant les systèmes Windows se distingue de la masse des logiciels malveillants en exploitant les métadonnées de memes postés sur Twitter selon la société nippone Trend Micro. Dans les données des images à visée humoristique se cachent en effet des commandes à destination du ver informatique.

Les commandes venues de Twitter

La firme de Tokyo a décelé dans deux fichiers postés sur Twitter deux commandes /print qui, une fois détectées par le malware, lancent une fonction de ce dernier. En l’occurrence, cette commande indique au logiciel de prendre une capture d’écran de l’ordinateur de la victime et de l’envoyer aux attaquants. C’est la véritable originalité du virus qui se comporte sinon comme cheval de Troie de faible sophistication sur la machine de ses victimes.

Capture d’écran du compte de l’assaillant par Trend Micro

Néanmoins, l’utilisation de Twitter par les attaquants révèle une ruse originale : pour contrôler discrètement le logiciel — sans être découvert par d’éventuelles mesures de sécurité  –, le recours à une plateforme populaire présente bien des avantages. Premièrement, la connexion au site Twitter — pour télécharger l’image mise en ligne par l’attaquant — n’apparaîtra pas suspecte contrairement à une connexion à un centre de commandement en ligne plus obscur ; ensuite, la suite chronologique de messages proposée par le réseau permet de donner des indications claires au malware, datées et en temps réel. Cela pourrait, à terme, remplacer avantageusement le canal traditionnel d’un centre de contrôle et commande (C2).

Dans le cas de ce logiciel malveillant, Trend Micro souligne que le programme paraît inabouti : il envoie des données à une adresse invalide (locale). Cela pourrait être la preuve que le logiciel en question serait encore en phase de développement par les assaillants. Pour VirusTotal, la première mouture du ver serait apparue en octobre dernier. Twitter a depuis fermé le compte des assaillants. Comme le rappel TechCrunch, la plateforme sociale n’est pas étrangère à de telles pratiques : en 2009 déjà, une armée de botnet prenait ses instructions sur le réseau.

Partager sur les réseaux sociaux