Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Un malware se sert d’Instagram pour récupérer l’adresse de son serveur maître

It's Britney bitch
Internet 4 min
Un malware se sert d’Instagram pour récupérer l’adresse de son serveur maître
Crédits : Alexei Tacu/iStock/ThinkStock

Un groupe de pirates russes se sert d’Instagram pour récupérer l'adresse d'un serveur de commandes. Une utilisation originale du réseau social, mais une méthode qui n’est pas nouvelle en elle-même .

D’après la société de sécurité ESET – à qui l’on doit l’antivirus NOD32 – le groupe russe Turla a décidé de recourir à une philosophie particulière pour transmettre ses instructions à ses malwares actifs : cacher les commandes en les exposant aux yeux de tous. Comment ? Sous forme de commentaires sur Instagram.

Ce n’est pourtant pas la première fois que des pirates se servent d’un réseau social pour émettre des instructions. On se souvient qu’en 2014 par exemple, des botnets étaient contrôlés par l’intermédiaire de hashtags savamment déposés sur Twitter. Il suffisait de savoir où chercher pour repérer les caractères qui, aux yeux de tous, ne voulaient pas dire grand-chose.

Une fausse extension pour Firefox, des méthodes de Sioux

Tout commence avec la découverture d’une extension malveillante pour Firefox se faisant passer pour une aide à la sécurité. L'objectif de l'extension est un classique vol de données, dans le navigateur et le système. C’est elle qui a besoin d’un serveur de commande, puisqu’elle peut servir de liaison entre les pirates et les malwares éventuellement installés.

Là où cette extension se distingue, c’est dans sa récupération de l’adresse du serveur C&C (Command & Control). Elle n’est pas présente dans le code pour éviter de mettre trop rapidement les sociétés de sécurité sur sa trace. À la place, elle se réfère à certains liens Instagram particuliers, a priori sans raison particulière. Mais la clé réside bien dans leur analyse.

Une expression régulière pour trouver l’adresse

Puisque l’idée était de placer des informations dans des commentaires, les pirates ont choisi un compte qui a peu de chances d’être effacé : celui de Britney Spears. On trouve dans le billet de l’éditeur plusieurs captures d’écran, montrant d’un côté une photo de la chanteuse, et de l’autre des commentaires encadrés pour mettre en évidence ce qu’il fallait repérer.

eset malware britney

Il aurait été évidemment beaucoup trop simple que les pirates mettent en toutes lettres des instructions que le malware pouvait lire tel quel. Elles sont donc codées. L’extension regarde chaque commentaire et détermine pour chacun un hash. Quand elle est en trouve un dont la valeur est 183, elle applique l’expression régulière (?:\\u200d(?:#|@)(\\w). Appliqué à l’exemple de la photo, le résultat devient alors « http://bit.ly/2kdhuHX », adresse qui apparaît désormais comme « problématique », Bit.ly ayant été informé du souci.

La méthode pourrait gagner en attractivité

Même si elle n’est pas nouvelle, la méthode semble efficace pour ESET. Il est difficile de trouver ces informations. Pour preuve, le fait que le billet de l’éditeur date de mardi soir, alors que le commentaire visé dans l’exemple était du 6 février (sur une photo publiée le 7 janvier). L’analyse de l’adresse montre cependant que l’adresse n’a a priori été visitée que 17 fois en février, ce qui indiquerait qu’il s’agissait alors surtout de tests.

Une procédure efficace donc, même si elle est exploitée actuellement par une extension Firefox. Pour les pirates, le problème va en effet se corser. Actuellement, cette extension dispose de capacités qui rendent l’installation de malwares optionnelles. Elle peut en effet exécuter du code arbitraire, lire des fichiers, émettre des informations, transmettre des lots de données, etc.

Cependant, puisque Firefox 53 durcit largement le ton sur les extensions (il faut passer par la boutique et l’API WebExtensions), on ne sait pas si ce type de malware sera encore réalisable. Selon les chercheurs d’ESET, il reste à voir comment les pirates s’adapteront. Mais extension ou pas, la communication par messages publics reste efficace.

Ni le groupe de pirates, ni la tactique ne sont nouveaux

Turla est un groupe sévissant depuis plusieurs années au moins. En 2014 par exemple, un article de Symantec le liait à un malware nommé Wipbot et qui avait été trouvé dans les ordinateurs de certaines agences gouvernementales et ambassades en Europe de l’Est, particulièrement dans les pays qui faisaient anciennement partie du bloc soviétique. Un peu plus tard dans la même année, c’est Kaspersky qui avait attiré l’attention sur ce groupe : même campagne que précédemment, mais en passant cette fois par une porte dérobée dans Linux, via un autre malware.

Comme indiqué précédemment, l’idée de messages publics n’est pas nouvelle. On note toutefois une évolution, prévisible pour plusieurs experts que nous avions interrogés en 2014 sur la thématique des botnets. Les chaines de caractères incompréhensibles ont laissé place à des mots, rendant les messages beaucoup moins suspects.

En l’état actuel des choses, les pirates peuvent donc publier des commentaires presque intelligibles, réellement compréhensibles seulement par ceux qui ont les bons éléments et savent où chercher. Car après tout, qui irait fouiller manuellement dans les milliers de commentaires d’une photo de Britney Spears pour tenter de débusquer un éventuel message codé ?

17 commentaires
Avatar de jb18v Abonné
Avatar de jb18vjb18v- 08/06/17 à 09:25:02

Signaler ce commentaire aux modérateurs :

c'est génial

pauvre Britney

Avatar de _Quentin_ Abonné
Avatar de _Quentin__Quentin_- 08/06/17 à 09:30:52

Signaler ce commentaire aux modérateurs :

C'est pas con du tout comme technique, ils sont malins ces hackers!

Avatar de WereWindle Abonné
Avatar de WereWindleWereWindle- 08/06/17 à 09:31:01

Signaler ce commentaire aux modérateurs :

jb18v a écrit :

c'est génial

pauvre Britney

Laissez Britney tranquille !!! S'il vous plaiiiit ! (référence de bon aloi )

J'avoue que le système est plutôt malin. Prochaine étape la stéganographie (peut-être déjà fait d'ailleurs) ?

Avatar de spamator Abonné
Avatar de spamatorspamator- 08/06/17 à 09:35:39

Signaler ce commentaire aux modérateurs :

Très bonne photo d'article,
je vais le relire d'ailleurs

Ils sont de plus en plus malis ces hackers; Une fois qu'ils auront trouvé une méthode alternative à l'extension FF, les éditeurs de sécu auront du boulot.
Sauf Microsoft car Defender est le plus génial et plus complet des produits de sécurité. D'ailleurs c'est DEFENDER qui a soufflé à ESET  ce nouveau malware

Avatar de foilivier Abonné
Avatar de foilivierfoilivier- 08/06/17 à 10:30:08

Signaler ce commentaire aux modérateurs :

Pour ceux qui se poseraient la question, je pense que la regex n'est pas la bonne, (y compris dans l'article original), ce serait plutôt /\u200d(?:#|@)?(\w)/g

Avatar de psn00ps Abonné
Avatar de psn00pspsn00ps- 08/06/17 à 10:39:29

Signaler ce commentaire aux modérateurs :

"Ni le groupe de pirates, ni la tactique ne sont nouveaux"
Oops, I did it again

Avatar de rm Abonné
Avatar de rmrm- 08/06/17 à 11:27:10

Signaler ce commentaire aux modérateurs :

du coup je n'ai pas compris la transformation? qu'est ce qui est traité le message entier, les hashtags, ce "uupss"? 

Avatar de CryoGen Abonné
Avatar de CryoGenCryoGen- 08/06/17 à 11:44:35

Signaler ce commentaire aux modérateurs :

Aparrament c'est tout le message.

Je ne comprend pas trop comment ca marche ici. Mais de ce que je comprend il prend le caractère qui suit un # ou @. Par contre je ne pige pas comment il choisi les caractères dans les mots suivants.

Avatar de WereWindle Abonné
Avatar de WereWindleWereWindle- 08/06/17 à 11:45:06

Signaler ce commentaire aux modérateurs :

haha bien vu

Avatar de foilivier Abonné
Avatar de foilivierfoilivier- 08/06/17 à 11:51:58

Signaler ce commentaire aux modérateurs :

 @CryoGen @rm
 
Il y a des caractères invisibles dans le message (Unicode \u200d : liant sans chasse)

Le message est le suivant : smith2155<200d>#2hot ma<200d>ke love<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X L'expression régulière récupère le premier caractère alphanumérique (\w) après ce \u200d qui n'est pas un # ou @ smith2155<200d>#2hot ma<200d>ke love<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X => 2kdhuHX
Édité par foilivier le 08/06/2017 à 11:56
Il n'est plus possible de commenter cette actualité.
Page 1 / 2