Un malware se sert d’Instagram pour récupérer l’adresse de son serveur maître

It's Britney bitch 17
Accès libre
image dediée
Crédits : Alexei Tacu/iStock/ThinkStock
Securité
Vincent Hermann

Un groupe de pirates russes se sert d’Instagram pour récupérer l'adresse d'un serveur de commandes. Une utilisation originale du réseau social, mais une méthode qui n’est pas nouvelle en elle-même .

D’après la société de sécurité ESET – à qui l’on doit l’antivirus NOD32 – le groupe russe Turla a décidé de recourir à une philosophie particulière pour transmettre ses instructions à ses malwares actifs : cacher les commandes en les exposant aux yeux de tous. Comment ? Sous forme de commentaires sur Instagram.

Ce n’est pourtant pas la première fois que des pirates se servent d’un réseau social pour émettre des instructions. On se souvient qu’en 2014 par exemple, des botnets étaient contrôlés par l’intermédiaire de hashtags savamment déposés sur Twitter. Il suffisait de savoir où chercher pour repérer les caractères qui, aux yeux de tous, ne voulaient pas dire grand-chose.

Une fausse extension pour Firefox, des méthodes de Sioux

Tout commence avec la découverture d’une extension malveillante pour Firefox se faisant passer pour une aide à la sécurité. L'objectif de l'extension est un classique vol de données, dans le navigateur et le système. C’est elle qui a besoin d’un serveur de commande, puisqu’elle peut servir de liaison entre les pirates et les malwares éventuellement installés.

Là où cette extension se distingue, c’est dans sa récupération de l’adresse du serveur C&C (Command & Control). Elle n’est pas présente dans le code pour éviter de mettre trop rapidement les sociétés de sécurité sur sa trace. À la place, elle se réfère à certains liens Instagram particuliers, a priori sans raison particulière. Mais la clé réside bien dans leur analyse.

Une expression régulière pour trouver l’adresse

Puisque l’idée était de placer des informations dans des commentaires, les pirates ont choisi un compte qui a peu de chances d’être effacé : celui de Britney Spears. On trouve dans le billet de l’éditeur plusieurs captures d’écran, montrant d’un côté une photo de la chanteuse, et de l’autre des commentaires encadrés pour mettre en évidence ce qu’il fallait repérer.

eset malware britney

Il aurait été évidemment beaucoup trop simple que les pirates mettent en toutes lettres des instructions que le malware pouvait lire tel quel. Elles sont donc codées. L’extension regarde chaque commentaire et détermine pour chacun un hash. Quand elle est en trouve un dont la valeur est 183, elle applique l’expression régulière (?:\\u200d(?:#|@)(\\w). Appliqué à l’exemple de la photo, le résultat devient alors « http://bit.ly/2kdhuHX », adresse qui apparaît désormais comme « problématique », Bit.ly ayant été informé du souci.

La méthode pourrait gagner en attractivité

Même si elle n’est pas nouvelle, la méthode semble efficace pour ESET. Il est difficile de trouver ces informations. Pour preuve, le fait que le billet de l’éditeur date de mardi soir, alors que le commentaire visé dans l’exemple était du 6 février (sur une photo publiée le 7 janvier). L’analyse de l’adresse montre cependant que l’adresse n’a a priori été visitée que 17 fois en février, ce qui indiquerait qu’il s’agissait alors surtout de tests.

Une procédure efficace donc, même si elle est exploitée actuellement par une extension Firefox. Pour les pirates, le problème va en effet se corser. Actuellement, cette extension dispose de capacités qui rendent l’installation de malwares optionnelles. Elle peut en effet exécuter du code arbitraire, lire des fichiers, émettre des informations, transmettre des lots de données, etc.

Cependant, puisque Firefox 53 durcit largement le ton sur les extensions (il faut passer par la boutique et l’API WebExtensions), on ne sait pas si ce type de malware sera encore réalisable. Selon les chercheurs d’ESET, il reste à voir comment les pirates s’adapteront. Mais extension ou pas, la communication par messages publics reste efficace.

Ni le groupe de pirates, ni la tactique ne sont nouveaux

Turla est un groupe sévissant depuis plusieurs années au moins. En 2014 par exemple, un article de Symantec le liait à un malware nommé Wipbot et qui avait été trouvé dans les ordinateurs de certaines agences gouvernementales et ambassades en Europe de l’Est, particulièrement dans les pays qui faisaient anciennement partie du bloc soviétique. Un peu plus tard dans la même année, c’est Kaspersky qui avait attiré l’attention sur ce groupe : même campagne que précédemment, mais en passant cette fois par une porte dérobée dans Linux, via un autre malware.

Comme indiqué précédemment, l’idée de messages publics n’est pas nouvelle. On note toutefois une évolution, prévisible pour plusieurs experts que nous avions interrogés en 2014 sur la thématique des botnets. Les chaines de caractères incompréhensibles ont laissé place à des mots, rendant les messages beaucoup moins suspects.

En l’état actuel des choses, les pirates peuvent donc publier des commentaires presque intelligibles, réellement compréhensibles seulement par ceux qui ont les bons éléments et savent où chercher. Car après tout, qui irait fouiller manuellement dans les milliers de commentaires d’une photo de Britney Spears pour tenter de débusquer un éventuel message codé ?


chargement
Chargement des commentaires...