L'éditeur Trend Micro a découvert un type d'attaque d'un nouveau genre, cachée dans des images humoristiques postées sur Twitter.

au sommaire

    L'éditeur de logiciels antivirus Trend Micro a annoncé, par le biais de son blog, avoir découvert un malware d'un nouveau genre. Baptisé du doux nom de TROJAN.MSIL.BERBOMTHUM.AA. Cette nouvelle menace est un cheval de Troie, à première vue, assez banal dans son genre. La différence par rapport aux autres logiciels malveillantslogiciels malveillants se situe au niveau de son mécanisme de commande. L'auteur le dirige via des images de « mèmes » postées sur Twitter.

    Il ne s'agit pas du premier virus à utiliser TwitterTwitter pour communiquer, mais cette fois, l'auteur a poussé l'inventivité plus loin. Le programme surveille un compte spécifique qui partage des images humoristiques, à première vue anodines, et comme peuvent l'être des mèmes. Grâce à la stéganographie, des commandes sont cachées dans les images JPEG. Entre la fin des données de l'image et la fin du fichier, il est possible de rajouter des informations qui seront simplement ignorées par le navigateur ou un logiciel d'images. L'utilisation des mèmes permet au compte de passer inaperçu, aucun filtre automatique n'étant prévu pour ce genre d'usage. L'utilisation de Twitter permet au programme de n'utiliser aucune connexion à un site suspect, susceptible d'être détectée par un logiciel de sécurité.

    Cinq commandes disponibles à distance

    L'auteur du cheval de Troie cache ainsi cinq commandes différentes dans les images. /print pour prendre une capture d'écran, /processos pour obtenir la liste des programmes en cours d'exécution, /clip pour copier le presse-papiers, /username pour récupérer le nom d'utilisateur de la machine infectée, et enfin /docs pour lister le contenu d'un dossier. Une fois la commande reçue, le programme se connecte à une page sur pastebin.com pour obtenir l'adresse du serveurserveur auquel envoyer le résultat.

    Les images postées sur le compte Twitter, qui a depuis été désactivé, contiennent uniquement des commandes, et non une copie du malware. Ils ne présentent donc aucun risque si le Cheval de Troie n'est pas sur l'ordinateurordinateur de l'internaute. À l'heure actuelle, les chercheurs ignorent comment il se propage.