Un malware se sert d’Instagram pour récupérer l’adresse de son serveur maître

Un malware se sert d’Instagram pour récupérer l’adresse de son serveur maître

It's Britney bitch

17

Un malware se sert d’Instagram pour récupérer l’adresse de son serveur maître

Un groupe de pirates russes se sert d’Instagram pour récupérer l'adresse d'un serveur de commandes. Une utilisation originale du réseau social, mais une méthode qui n’est pas nouvelle en elle-même .

D’après la société de sécurité ESET – à qui l’on doit l’antivirus NOD32 – le groupe russe Turla a décidé de recourir à une philosophie particulière pour transmettre ses instructions à ses malwares actifs : cacher les commandes en les exposant aux yeux de tous. Comment ? Sous forme de commentaires sur Instagram.

Ce n’est pourtant pas la première fois que des pirates se servent d’un réseau social pour émettre des instructions. On se souvient qu’en 2014 par exemple, des botnets étaient contrôlés par l’intermédiaire de hashtags savamment déposés sur Twitter. Il suffisait de savoir où chercher pour repérer les caractères qui, aux yeux de tous, ne voulaient pas dire grand-chose.

Une fausse extension pour Firefox, des méthodes de Sioux

Tout commence avec la découverture d’une extension malveillante pour Firefox se faisant passer pour une aide à la sécurité. L'objectif de l'extension est un classique vol de données, dans le navigateur et le système. C’est elle qui a besoin d’un serveur de commande, puisqu’elle peut servir de liaison entre les pirates et les malwares éventuellement installés.

Là où cette extension se distingue, c’est dans sa récupération de l’adresse du serveur C&C (Command & Control). Elle n’est pas présente dans le code pour éviter de mettre trop rapidement les sociétés de sécurité sur sa trace. À la place, elle se réfère à certains liens Instagram particuliers, a priori sans raison particulière. Mais la clé réside bien dans leur analyse.

Une expression régulière pour trouver l’adresse

Puisque l’idée était de placer des informations dans des commentaires, les pirates ont choisi un compte qui a peu de chances d’être effacé : celui de Britney Spears. On trouve dans le billet de l’éditeur plusieurs captures d’écran, montrant d’un côté une photo de la chanteuse, et de l’autre des commentaires encadrés pour mettre en évidence ce qu’il fallait repérer.

eset malware britney

Il aurait été évidemment beaucoup trop simple que les pirates mettent en toutes lettres des instructions que le malware pouvait lire tel quel. Elles sont donc codées. L’extension regarde chaque commentaire et détermine pour chacun un hash. Quand elle est en trouve un dont la valeur est 183, elle applique l’expression régulière (?:\\u200d(?:#|@)(\\w). Appliqué à l’exemple de la photo, le résultat devient alors « http://bit.ly/2kdhuHX », adresse qui apparaît désormais comme « problématique », Bit.ly ayant été informé du souci.

La méthode pourrait gagner en attractivité

Même si elle n’est pas nouvelle, la méthode semble efficace pour ESET. Il est difficile de trouver ces informations. Pour preuve, le fait que le billet de l’éditeur date de mardi soir, alors que le commentaire visé dans l’exemple était du 6 février (sur une photo publiée le 7 janvier). L’analyse de l’adresse montre cependant que l’adresse n’a a priori été visitée que 17 fois en février, ce qui indiquerait qu’il s’agissait alors surtout de tests.

Une procédure efficace donc, même si elle est exploitée actuellement par une extension Firefox. Pour les pirates, le problème va en effet se corser. Actuellement, cette extension dispose de capacités qui rendent l’installation de malwares optionnelles. Elle peut en effet exécuter du code arbitraire, lire des fichiers, émettre des informations, transmettre des lots de données, etc.

Cependant, puisque Firefox 53 durcit largement le ton sur les extensions (il faut passer par la boutique et l’API WebExtensions), on ne sait pas si ce type de malware sera encore réalisable. Selon les chercheurs d’ESET, il reste à voir comment les pirates s’adapteront. Mais extension ou pas, la communication par messages publics reste efficace.

Ni le groupe de pirates, ni la tactique ne sont nouveaux

Turla est un groupe sévissant depuis plusieurs années au moins. En 2014 par exemple, un article de Symantec le liait à un malware nommé Wipbot et qui avait été trouvé dans les ordinateurs de certaines agences gouvernementales et ambassades en Europe de l’Est, particulièrement dans les pays qui faisaient anciennement partie du bloc soviétique. Un peu plus tard dans la même année, c’est Kaspersky qui avait attiré l’attention sur ce groupe : même campagne que précédemment, mais en passant cette fois par une porte dérobée dans Linux, via un autre malware.

Comme indiqué précédemment, l’idée de messages publics n’est pas nouvelle. On note toutefois une évolution, prévisible pour plusieurs experts que nous avions interrogés en 2014 sur la thématique des botnets. Les chaines de caractères incompréhensibles ont laissé place à des mots, rendant les messages beaucoup moins suspects.

En l’état actuel des choses, les pirates peuvent donc publier des commentaires presque intelligibles, réellement compréhensibles seulement par ceux qui ont les bons éléments et savent où chercher. Car après tout, qui irait fouiller manuellement dans les milliers de commentaires d’une photo de Britney Spears pour tenter de débusquer un éventuel message codé ?

Commentaires (17)


c’est génial <img data-src=" />



<img data-src=" />



pauvre Britney <img data-src=" />


C’est pas con du tout comme technique, ils sont malins ces hackers!








jb18v a écrit :



c’est génial <img data-src=" />



<img data-src=" />



pauvre Britney <img data-src=" />





Laissez Britney tranquille !!! S’il vous plaiiiit <img data-src=" /> ! (référence de bon aloi <img data-src=" />)



J’avoue que le système est plutôt malin. Prochaine étape la stéganographie (peut-être déjà fait d’ailleurs) ?



Très bonne photo d’article,

je vais le relire d’ailleurs



Ils sont de plus en plus malis ces hackers; Une fois qu’ils auront trouvé une méthode alternative à l’extension FF, les éditeurs de sécu auront du boulot.

Sauf Microsoft car Defender est le plus génial et plus complet des produits de sécurité. D’ailleurs c’est DEFENDER qui a soufflé à ESET&nbsp; ce nouveau malware <img data-src=" />


Pour ceux qui se poseraient la question, je pense que la regex n’est pas la bonne, (y compris dans l’article original), ce serait plutôt /\u200d(?:#|@)?(\w)/g


“Ni le groupe de pirates, ni la tactique ne sont nouveaux”

Oops, I did it again <img data-src=" />


du coup je n’ai pas compris la transformation? qu’est ce qui est traité le message entier, les hashtags, ce “uupss”?&nbsp;<img data-src=" />


Aparrament c’est tout le message.



Je ne comprend pas trop comment ca marche ici. Mais de ce que je comprend il prend le caractère qui suit un # ou @. Par contre je ne pige pas comment il choisi les caractères dans les mots suivants.


haha bien vu <img data-src=" />


&nbsp;@CryoGen @rm



&nbsp;      

Il y a des caractères invisibles dans le message (Unicode \u200d : liant sans chasse)






Le message est le suivant :      

smith2155&lt;200d&gt;#2hot ma&lt;200d&gt;ke love&lt;200d&gt;d to &lt;200d&gt;her, &lt;200d&gt;uupss &lt;200d&gt;#Hot &lt;200d&gt;#X






L'expression régulière récupère le premier caractère alphanumérique (\w) après ce \u200d qui n'est pas un # ou @      

smith2155&lt;200d&gt;#2hot ma&lt;200d&gt;ke love&lt;200d&gt;d to

&lt;200d&gt;her, &lt;200d&gt;uupss &lt;200d&gt;#Hot &lt;200d&gt;#X

=&gt; 2kdhuHX


L’utilisation de hashtag (#) ou de username (@) permetterait de cacher des majuscules sans que cela se voit








WereWindle a écrit :



Laissez Britney tranquille !!! S’il vous plaiiiit <img data-src=" /> ! (référence de bon aloi <img data-src=" />)





<img data-src=" />







WereWindle a écrit :



J’avoue que le système est plutôt malin. Prochaine étape la stéganographie (peut-être déjà fait d’ailleurs) ?





C’est justement de la stéganographie.







foilivier a écrit :



@CryoGen @rm

Il y a des caractères invisibles dans le message (Unicode \u200d : liant sans chasse)[…]





Merci pour les explications <img data-src=" />









OlivierJ a écrit :



C’est justement de la stéganographie.





ah ben j’étais convaincu que le terme ne s’appliquait que pour un “secret” caché dans une image… <img data-src=" />



Ah merci <img data-src=" />


c’est bien pensé



Pour que cela fonctionne il faut :




  • un système public où tout le monde peut poster des messages

  • que ce système soit populaire, où les messages des bots se fonderont dans la masse

  • que la modération soit faible

  • que la page en elle même aie peu de chance d’être fermée



    La page instagram de Britney Spears rempli tous ces critères.

    pour les images, il faudrait en plus que le système autorise n’importe qui à poster des images, ce n’est pas le cas sur les commentaires instagram.



    ah mais j’y pense, la solution serait les forums porno gay, personne n’irait penser à trop fouiller sur ces forums (bon à part les gays mais ça retire une bonne portion de la population), et cacher des messages dans ces images remplirait toutes les conditions ci dessus


ok merci!

&nbsp;


“Car après tout, qui irait fouiller manuellement dans les milliers de commentaires d’une photo de Britney Spears pour tenter de débusquer un éventuel message codé ?”

Je ne sais pas pourquoi, mais j’ai l’impression que Mr Hermann ne nous a pas tout dit…


Fermer