IcoScript, le code malveillant qui communique par webmail

Clavier Actualités

Un malware découvert par G DATA utilise la messagerie Yahoo ! pour recevoir ses instructions.

Le nouveau code malveillant IcoScript est capable d’utiliser n’importe quel webmail courant pour recevoir des commandes de son serveur de contrôle. L’accès aux services de webmail étant rarement bloqué dans les entreprises, le cheval de Troie peut recevoir et exécuter des commandes sans être remarqué. Les experts du G DATA SecurityLabs ont nommé ce code Win32.Trojan.IcoScript.A. Son analyse détaillée a été publiée dans le Magazine Virus Bulletin.

Le webmail pour communiquer : une nouveauté

Alors que les chevaux de Troie les plus courants utilisent des protocoles de communications spécifiques pour contacter leur serveur de contrôle, IcoScript communique via les services de messagerie Web. En pratique, lcoScript se connecte au webmail (yahoo ! dans la version du code étudié) et récupère ses instructions dans un email préalablement envoyé par l’attaquant. IcoScript est aussi capable de créer ses propres emails. Ceci afin d’envoyer des données volées sur le poste infecté vers un serveur distant. Les webmails étant rarement bloqués dans les entreprises, les possibilités d’actions de ce code sont larges et difficilement détectables lors d’une analyse de flux réseau. Le code étant modulaire, il peut aussi à tout moment changer de moyen de communication comme l’explique Ralf Benzmüller, Directeur du G DATA SecurityLabs : « Le webmail utilisé est Yahoo !, mais cela pourrait aussi fonctionner avec d’autres services, tels que Gmail ou Outlook.com. Même LinkedIn, Facebook tout autre réseau social pourraient techniquement servir pour la communication ».

Le code en détail

Win32.Trojan.IcoScript.A, dont l’’activité a commencé en 2012, est un outil d’administration à distance (RAT) modulaire qui cible les PC sous Windows. Le code malveillant s’injecte généralement dans les processus applicatifs. IcoScript utilise d’autre part l’interface développeur COM (Component Object Model) pour se lier à Internet Explorer ; l’interface COM permet aux développeurs d’utiliser le navigateur de manière transparente dans des applications tiers. Cette fonctionnalité offre aux cybercriminels une opportunité pour compromettre le navigateur sans être remarquée par l’utilisateur (les solutions G DATA détectent IcoSript). Ainsi intégré, le code nuisible utilise les protocoles de communication configurés dans le navigateur.

L’’analyse complète publiée dans Virus Bulletin

L’analyse a été publiée dans le Magazine anglais Virus Bulletin sous le titre « IcoScript: Using Webmail to control malware ». Ralf Benzmüller commente : « IcoScript est un code malveillant très inhabituel. Nous sommes ravis que notre article ait été publié dans ce magazine d’experts de renom. Nous considérons cela comme une reconnaissance de nos recherches. Virus Bulletin est un élément important dans le secteur de l’antivirus. Il s’est établi une excellente réputation pour son indépendance, l’information professionnelle sur les logiciels malveillants au cours des années ».

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

IcoScript, le code malveillant qui communique par webmail

Clavier Actualités 20th août, 2014

Un malware découvert par G DATA utilise la messagerie Yahoo ! pour recevoir ses instructions.

Le nouveau code malveillant IcoScript est capable d’utiliser n’importe quel webmail courant pour recevoir des commandes de son serveur de contrôle. L’accès aux services de webmail étant rarement bloqué dans les entreprises, le cheval de Troie peut recevoir et exécuter des commandes sans être remarqué. Les experts du G DATA SecurityLabs ont nommé ce code Win32.Trojan.IcoScript.A. Son analyse détaillée a été publiée dans le Magazine Virus Bulletin.

Le webmail pour communiquer : une nouveauté

Alors que les chevaux de Troie les plus courants utilisent des protocoles de communications spécifiques pour contacter leur serveur de contrôle, IcoScript communique via les services de messagerie Web. En pratique, lcoScript se connecte au webmail (yahoo ! dans la version du code étudié) et récupère ses instructions dans un email préalablement envoyé par l’attaquant. IcoScript est aussi capable de créer ses propres emails. Ceci afin d’envoyer des données volées sur le poste infecté vers un serveur distant. Les webmails étant rarement bloqués dans les entreprises, les possibilités d’actions de ce code sont larges et difficilement détectables lors d’une analyse de flux réseau. Le code étant modulaire, il peut aussi à tout moment changer de moyen de communication comme l’explique Ralf Benzmüller, Directeur du G DATA SecurityLabs : « Le webmail utilisé est Yahoo !, mais cela pourrait aussi fonctionner avec d’autres services, tels que Gmail ou Outlook.com. Même LinkedIn, Facebook tout autre réseau social pourraient techniquement servir pour la communication ».

Le code en détail

Win32.Trojan.IcoScript.A, dont l’’activité a commencé en 2012, est un outil d’administration à distance (RAT) modulaire qui cible les PC sous Windows. Le code malveillant s’injecte généralement dans les processus applicatifs. IcoScript utilise d’autre part l’interface développeur COM (Component Object Model) pour se lier à Internet Explorer ; l’interface COM permet aux développeurs d’utiliser le navigateur de manière transparente dans des applications tiers. Cette fonctionnalité offre aux cybercriminels une opportunité pour compromettre le navigateur sans être remarquée par l’utilisateur (les solutions G DATA détectent IcoSript). Ainsi intégré, le code nuisible utilise les protocoles de communication configurés dans le navigateur.

L’’analyse complète publiée dans Virus Bulletin

L’analyse a été publiée dans le Magazine anglais Virus Bulletin sous le titre « IcoScript: Using Webmail to control malware ». Ralf Benzmüller commente : « IcoScript est un code malveillant très inhabituel. Nous sommes ravis que notre article ait été publié dans ce magazine d’experts de renom. Nous considérons cela comme une reconnaissance de nos recherches. Virus Bulletin est un élément important dans le secteur de l’antivirus. Il s’est établi une excellente réputation pour son indépendance, l’information professionnelle sur les logiciels malveillants au cours des années ».

By
@coesteve1
backtotop