Le malware Turla joint son centre de contrôle et commande via des commentaires Instagram
D’après une publication de la firme ESET

Le célèbre malware Turla dont on sait aujourd’hui qu’il a été utilisé pendant de longues années pour espionner de nombreux états a refait surface. Il utilise une fois de plus l’approche dénommée « attaque de point d’eau » pour sévir.

D’après ce que rapporte la firme de sécurité ESET, le groupe de hackers connu sous le nom de Turla utilise cette technique depuis 2014 au moins et l’améliore constamment. La firme a donc fait du groupe l’objet d’une veille permanente pour s’assurer de rester au fait des variations introduites dans son modus operandi. Pour rappel, l’« attaque de point d’eau » consiste à piéger un site Web susceptible de recevoir de nombreuses visites avec un logiciel malveillant. Par le biais de l’exploitation d’une faille zero day par exemple, ce logiciel, une fois installé sur un poste de travail, peut permettre à un attaquant d’espionner la victime ou même de prendre le contrôle de l’ordinateur utilisé.

Les chercheurs de la firme déclarent que, récemment, le groupe s’est servi d’une extension Firefox – jouant le rôle de porte dérobée – pour mettre ce schéma d’attaque en place. D’après ce qu’ils rapportent, le groupe Turla aurait réussi à faire croire à des internautes qu’il s’agissait d’une extension de sécurité, les amenant ainsi à l’installer, via le site Web compromis (le point d’eau) d’une firme de sécurité suisse. Le plus intéressant dans ce cas est la façon dont l’extension, une fois dans la machine de la victime, récupérait l’adresse de son centre de contrôle et de commande.

Nom : Turla_instagram.png
Affichages : 1001
Taille : 333,3 Ko


L’extension se connectait au centre de contrôle et de commande par le biais d’une chaîne de caractères spécifique (cf. encadré en rouge ci-dessus) située dans la section commentaires du compte Instagram de l’auteure-compositrice-interprète et danseuse Britney Spears. L’extension arrivait à différencier cette chaîne de caractères des autres en appliquant une fonction de hash et en comparant le résultat obtenu à 183. Le bon commentaire étant identifié, l’extension en dégageait l’adresse du centre de contrôle et de commande.

D’après ce que rapporte la BBC à ce sujet, les chercheurs de la firme ont mis Mozilla au courant du stratagème utilisé par le groupe Turla pour arriver à ses fins. Mozilla serait en train de travailler sur les API exploitées par les attaquants pour éviter que des extensions puissent être exploitées de la sorte à l’avenir.

Sources : ESET, BBC

Et vous ?

:fleche : Qu’en pensez-vous ?

Voir aussi :

Cybersécurité : le malware Fireball vient de Chine et a déjà infecté un minimum de 250 millions d'ordinateurs, d'après Check Point
Le malware Hajime est capable de sécuriser des objets connectés visés par le malware Mirai, mais pourrait également servir à des desseins funestes
Le malware Android Judy pourrait avoir infecté 36,5 millions d'utilisateurs, selon le spécialiste en sécurité Checkpoint
Des chercheurs découvrent une variante du malware X-Agent qui s'attaque aux Mac, il sert de porte dérobée et dispose de plusieurs modules