Il n’y a rien de nouveau dans le fait d’utiliser des services populaires pour véhiculer des malwares, mais pourquoi Twitter et Telegram ? et cette récente migration vers cette messagerie sécurisée est-elle significative ?
Comme les SophosLabs l’expliquent dans une nouvelle analyse, Anubis a recours à ces services pour héberger les instructions de command & control (C2) dont le malware a besoin après la première installation sur un système cible.
Twitter est attrayant car sa popularité et son omniprésence réduisent le risque de blocage des domaines par le filtrage Web.
Malgré cela, les SophosLabs ont récemment remarqué qu’Anubis quittait Twitter pour utiliser la messagerie sécurisée Telegram, et ce presque exclusivement, ce qui semble plutôt étrange.
Peut-être que la sécurité interne de Twitter a mieux réussi à maîtriser ce genre d’intrus, en bloquant les domaines Anubis aussi rapidement qu’ils sont configurés. Les créateurs de malwares savent que cela se produira à un moment donné, mais si cela ne prend que quelques minutes ou quelques heures, cela peut être assez gênant.
En fait, Telegram est également très efficace pour suspendre les comptes qui abusent de son service de cette manière. Néanmoins, Jagadeesh Chandraiah, chercheur SophosLabs, a écrit :
Au moment où Telegram supprime les comptes utilisés pour C2, il est probable que plusieurs victimes aient déjà installé le malware et obtenu l’adresse initiale dédiée du serveur C2 à partir du compte malveillant Telegram.
Anubis a également commencé à utiliser les caractères chinois comme forme d’obfuscation, donnant ainsi peut-être un indice sur la motivation des cybercriminels : c’est une tentative pour gagner un peu plus de temps en rendant les choses plus compliquées pour les experts analysant les malwares.
Se cacher dans Telegram
Peut-être que les cybercriminels pensent que l’utilisation de la messagerie sécurisée Telegram, un service qui utilise un chiffrement de bout en bout réputé pour protéger ses messages des regards indiscrets, dissimulera leur trafic.
Si c’est le cas, eh bien ils se trompent. Alors que les messages Telegram échangés sont chiffrés, les logs du système Android créés par les applications qui véhiculent Anubis ne le sont pas. Ceux-ci, découverts par les SophosLabs, peuvent être lus assez facilement.
On peut supposer que cela constitue une chance d’un point de vue technique. Une future version pourrait offrir un moyen d’éviter de laisser une telle trace aussi visible, en plaçant la communication C2 hors de portée des chercheurs.
Avoir sa propre sécurité utilisée pour cacher des initiatives malveillantes est quelque chose que les plateformes bien implantées telles que Telegram ont presque toujours observé. Ce n’est pas le seul cas non plus : WhatsApp, Facebook Messenger et d’autres ont également été impliquées à différents moments.
Ce qui séduit les criminels, ce n’est pas simplement le chiffrement et l’automatisation par bots de ces plateformes, mais le fait qu’il en existe maintenant un grand nombre, offrant ainsi un choix plus large.
La plupart des utilisateurs choisissent une plateforme de messagerie parce qu’ils savent que leurs amis l’utilisent également. Les cybercriminels, quant à eux, ne sont pas confrontés à de tels problèmes et peuvent migrer d’une plateforme peu fréquentée à une autre, qui l’est aussi, afin de contourner la possibilité d’espionnage et d’infiltration.
C’est l’une des raisons pour lesquelles des appels ont été lancés pour affaiblir le chiffrement proposé par certaines de ces plateformes, mais au mieux, cela inciterait simplement les cybercriminels à passer à de nouvelles plateformes, voire à en créer de nouvelles.
Après trois décennies de démocratisation, un chiffrement efficace est en passe de devenir un outil accessible à tous, cybercriminels compris. Bien que les backdoors aient peu de chance d’inverser cette tendance, les recherches menées par les SophosLabs soulignent que le périphérique lui-même constitue toujours une faiblesse majeure.
Les API sont à la portée de tous, mais les périphériques, à partir desquels ces applications sécurisées doivent fonctionner, le sont également.
Billet inspiré de Criminals are hiding in Telegram – but backdoors are not the answer, sur Sophos nakedsecurity.
Qu’en pensez-vous ? Laissez un commentaire.