in Sécurité

IcoScript, le code malveillant qui communique par webmail

Un malware découvert par G DATA utilise la messagerie Yahoo ! pour recevoir ses instructions.

Le nouveau code malveillant IcoScript est capable d’utiliser n’importe quel webmail courant pour recevoir des commandes de son serveur de contrôle. L’accès aux services de webmail étant rarement bloqué dans les entreprises, le cheval de Troie peut recevoir et exécuter des commandes sans être remarqué. Les experts du G DATA SecurityLabs ont nommé ce code Win32.Trojan.IcoScript.A. Son analyse détaillée a été publiée dans le Magazine Virus Bulletin.

Le webmail pour communiquer : une nouveauté

Alors que les chevaux de Troie les plus courants utilisent des protocoles de communications spécifiques pour contacter leur serveur de contrôle, IcoScript communique via les services de messagerie Web. En pratique, lcoScript se connecte au webmail (yahoo ! dans la version du code étudié) et récupère ses instructions dans un email préalablement envoyé par l’attaquant. IcoScript est aussi capable de créer ses propres emails. Ceci afin d’envoyer des données volées sur le poste infecté vers un serveur distant. Les webmails étant rarement bloqués dans les entreprises, les possibilités d’actions de ce code sont larges et difficilement détectables lors d’une analyse de flux réseau. Le code étant modulaire, il peut aussi à tout moment changer de moyen de communication comme l’explique Ralf Benzmüller, Directeur du G DATA SecurityLabs : « Le webmail utilisé est Yahoo !, mais cela pourrait aussi fonctionner avec d’autres services, tels que Gmail ou Outlook.com. Même LinkedIn, Facebook tout autre réseau social pourraient techniquement servir pour la communication ».

Le code en détail

Win32.Trojan.IcoScript.A, dont l’’activité a commencé en 2012, est un outil d’administration à distance (RAT) modulaire qui cible les PC sous Windows. Le code malveillant s’injecte généralement dans les processus applicatifs. IcoScript utilise d’autre part l’interface développeur COM (Component Object Model) pour se lier à Internet Explorer ; l’interface COM permet aux développeurs d’utiliser le navigateur de manière transparente dans des applications tiers. Cette fonctionnalité offre aux cybercriminels une opportunité pour compromettre le navigateur sans être remarquée par l’utilisateur (les solutions G DATA détectent IcoSript). Ainsi intégré, le code nuisible utilise les protocoles de communication configurés dans le navigateur.

L’’analyse complète publiée dans Virus Bulletin

L’analyse a été publiée dans le Magazine anglais Virus Bulletin sous le titre « IcoScript: Using Webmail to control malware ». Ralf Benzmüller commente : « IcoScript est un code malveillant très inhabituel. Nous sommes ravis que notre article ait été publié dans ce magazine d’experts de renom. Nous considérons cela comme une reconnaissance de nos recherches. Virus Bulletin est un élément important dans le secteur de l’antivirus. Il s’est établi une excellente réputation pour son indépendance, l’information professionnelle sur les logiciels malveillants au cours des années ».

Corinne
Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.