G Data identifie Icoscript, un code malveillant qui circule dans les webmails

Accueil » Technologie » Logiciel » Antivirus » G Data identifie Icoscript, un code malveillant qui circule dans les webmails

G Data l’éditeur de solutions de sécurité a identifié le code malveillant Icoscript, qui utilise une technique innovante. Cette découverte démontre une fois de plus la redoutable capacité d’adaptation des développeurs de logiciels malveillants, face aux évolutions des différents mécanismes de défense.

Les particularités d’Icoscript

Les experts en sécurité de G Data ont dénommés ce logiciel malveillant, qui sévit depuis 2012,Win32.Trojan.IcoScript.A. Celui-ci se distingue par son utilisation des webmail (Yahoo, Google, Hotmail…) et de certains services sociaux (Facebook, LinkedIn…), pour communiquer avec son serveur de contrôle. Bien que ceci puisse paraître anodin, cela lui procure un certain nombre d’atouts notables :

  • Dans les entreprises, l’accès aux services de messagerie Web est rarement bloqué. Ce qui permet à ce cheval de Troie d’exécuter du code en toute impunité, sans se faire remarquer.
  • Icoscript utilise la messagerie Web Yahoo pour se connecter (dans la version du logiciel malveillant qui a été étudiée). Cependant, sa modularité lui permet d’utiliser différentes messageries Web.
  • Icoscript a été doté d’un script dédié, lui permettant de récupérer par courrier électronique les instructions envoyées au préalable par l’attaquant. Il se connecte au service de messagerie web, et a la possibilité d’envoyer ses propres courriers électroniques, qui passent inaperçus puisque provenant d’une source légitime et sécurisée.

Quelques détails techniques concernant le fonctionnement de cette menace

Le logiciel malveillant Win32.Trojan.IcoScript.A fait partie de la famille des outils d’administration (RAT). Ce code malveillant cible les PC sous Windows, et il se lie à Internet Explorer en utilisant l’interface développeur COM (Component Object Model).

Grâce à l’interface COM, il est possible d’utiliser le navigateur de façon transparente, ce qui permet aux cybercriminels de compromettre le navigateur sans laisser de traces, ou être remarqué. Pour plus de discrétion, Icoscript utilise les protocoles de communication déjà configurés pour le navigateur.

Une fois infiltré, ce cheval de Troie est capable d’envoyer les données récupérées sur le PC vers un serveur web distant, en créant et en envoyant ses propres courriers électroniques.

Quelles solutions contre Icoscript ?

Les solutions de sécurité G Data détectent déjà Icoscript, mais il ne doit pas être sous-estimé, car ses possibilités d’action sont larges, et il est de plus difficilement détectable durant une analyse de flux réseau.

Bitdefender, meilleur antivirus du mois

Recommandé par Laure

5/5 - (1 vote)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.