Une commande Twitter très populaire a été utilisé par des hackers afin de dissimuler des actes malveillants.
L'API Twitter met à disposition des éditeurs d'applications légitimes les hashtags les plus populaires. Ce type d'information, nous l'avons vu avec Mad Men ou Sesame Street, intéresse au plus au point les pirates, afin de pouvoir cibler leur spam. Et comme sur la plate-forme de micro-blogging, les modes évolues très vite, il était important pour les hackers d'avoir un moyen de suivre ces changements d'humeur...mais il peut également servir à générer automatiquement des noms de domaines, qui contiendront ensuite des malwares.
D'après le chercheur Denis Sinegubko, cela permettrait d'obscurcir le fonctionnement des scripts incorporés dans des sites compromis. Ces scripts redirigent la victime vers une page malicieuse contenant un certain nombre d'Exploits non patchées. Twitter dans tout ça? En fait le script utiliserait la seconde lettre d'un sujet à la mode sur Twitter afin de résoudre un mot de passe. Ce mot de passe permet par la suite de déterminer le contenu du nom de domaine vers lequel la victime sera reroutée. Un exemple concret pour éclaircir tout ça : Il y a quelques jours, c'est le mot Jedward (deux irlandais qui participe à X-factor) qui tenait le haut du pavée, que la recette magique transforma en ghoizwvlev.com .
"Afin de rendre la génération du nom du domaine moins prévisible, ils utilisent le code du second caractère de la recherche la plus populaire d'il y a deux jours. De cette manière ils ont un jour pour enregistrer un nouveau nom de domaine, qui sera activé le lendemain." écrit Denis Sinegubko.
Pour cela les pirates utilisent la fonction callback de twitter, dans un code qui ressemble à celui-ci : callback({"trends":{"2009-11-03":[{"name":"Halloween","query":"Halloween"},...]} ,"as_of":1257850226}). Ce code est inséré dans des sites internet piratés, le plus souvent juste avant la balise < /html>.
La génaration de nom de domaine peut paraitre une technique obscure voire futile, mais cela est essentielle dans le processus de diffusion de malware, puisque cela participe au brouillage des scanners de moteur de recherche, d'éditeurs de logiciel de sécurité, qui sont à la recherche de contenu malicieux. Ainsi au lieu de voir un site internet diffusant du contenu malveillant, il verra simplement un petit script utilisant une fonction Twitter largement répandue.
Cette technique démontre une fois de plus la capacité des Black Hat à faire évoluer leur outils, leurs méthodes d'attaques. Denis qualifie même ce script malicieux du "plus créatif [...] qu'il est eu à voir jusque là."
0 commentaires:
Enregistrer un commentaire