Trend Micro, société de cybersécurité japonaise, a découvert un malware puisant ses instructions dans des images publiées sur Twitter.

Un malware affectant les systèmes Windows se distingue de la masse des logiciels malveillants en exploitant les métadonnées de memes postés sur Twitter selon la société nippone Trend Micro. Dans les données des images à visée humoristique se cachent en effet des commandes à destination du ver informatique.

Les commandes venues de Twitter

La firme de Tokyo a décelé dans deux fichiers postés sur Twitter deux commandes /print qui, une fois détectées par le malware, lancent une fonction de ce dernier. En l’occurrence, cette commande indique au logiciel de prendre une capture d’écran de l’ordinateur de la victime et de l’envoyer aux attaquants. C’est la véritable originalité du virus qui se comporte sinon comme cheval de Troie de faible sophistication sur la machine de ses victimes.

Image d'erreur

Capture d’écran du compte de l’assaillant par Trend Micro

Néanmoins, l’utilisation de Twitter par les attaquants révèle une ruse originale : pour contrôler discrètement le logiciel — sans être découvert par d’éventuelles mesures de sécurité  –, le recours à une plateforme populaire présente bien des avantages. Premièrement, la connexion au site Twitter — pour télécharger l’image mise en ligne par l’attaquant — n’apparaîtra pas suspecte contrairement à une connexion à un centre de commandement en ligne plus obscur ; ensuite, la suite chronologique de messages proposée par le réseau permet de donner des indications claires au malware, datées et en temps réel. Cela pourrait, à terme, remplacer avantageusement le canal traditionnel d’un centre de contrôle et commande (C2).

Dans le cas de ce logiciel malveillant, Trend Micro souligne que le programme paraît inabouti : il envoie des données à une adresse invalide (locale). Cela pourrait être la preuve que le logiciel en question serait encore en phase de développement par les assaillants. Pour VirusTotal, la première mouture du ver serait apparue en octobre dernier. Twitter a depuis fermé le compte des assaillants. Comme le rappel TechCrunch, la plateforme sociale n’est pas étrangère à de telles pratiques : en 2009 déjà, une armée de botnet prenait ses instructions sur le réseau.

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !