MiniDuke : un logiciel malveillant qui utilise Twitter pour communiquer

C’est pour le moins original. MiniDuke, un logiciel malveillant propagé via une faille PDF

découverte par FireEye mi-février communiquerait de manière très ouverte avec son centre de commande et de contrôle... en passant par Twitter. C’est du moins l’analyse de Kaspersky, réalisée en partenariat avec le Crysys Lab de Budapest. Les chercheurs de l’éditeur et de l’université détaillent leur trouvailles dans

un billet de blog. Selon eux, les attaquants «sont toujours actifs». Ils utilisent un logiciel malveillant qui génère une signature unique pour chaque machine infectée, signature utilisée par la suite pour chiffrer les échanges avec les attaquants. Le logiciel suit à l’insu de sa victime des comptes Twitter prédéfinis : «les tweets contiennent des marqueurs spécifiques signalant les URLs chiffrées des portes dérobées» installées sur les machines infectées. Plus astucieux encore, le logiciel «peut utiliser Google Search pour trouver les chaînes de caractères chiffrés» indiquant l’URL du centre de commande et de contrôle suivant, en cas de chute d’un premier. Une fois le nouveau centre trouvé, le logiciel recevrait une liste de portes dérobées chiffrée et cachée dans des fichiers GIF. Kaspersky fait état d’un centre en France, notamment, et d’assez peu de victimes : 59 dans 23 pays. Peu de chose, certes, mais des cibles à la valeur potentiellement élevée : en Ukraine, en Belgique, au Portugal, en Roumanie, en République Tchèque, et en Irlande, les adresses IP des victimes correspondraient à des systèmes gouvernementaux; aux Etats-Unis, il y aurait notamment des Think Tanks et un institut de recherche.