În prealabil, malware-ul necunoscut exploateazã e-mailul Yahoo, cu scopul de a primi comenzi pentru funcțiile sale
O nouã tulpinã de malware greu detectabil este capabilã de deturnarea unor portaluri web cunoscute, cum ar fi Yahoo și Gmail, pentru a primi comenzi de control. Ceea ce face troianul IcoScript atât de neobișnuit este faptul cã malware-ul utilizeazã propriul limbaj de programare pentru a se conecta automat la un cont de e-mail. Acel cont a fost creat de cãtre hackeri pentru a lansa comenzi cãtre computerele infectate. Accesul la servicii de webmail este rareori blocat în rețelele companiilor și, prin urmare, troianul poate primi și executa comenzi fãrã a fi observat. Experții în securitate de la G DATA au numit malware-ul Win32.Trojan.IcoScript.A. O analizã detaliatã a fost publicatã în revista de specialitate Virus Bulletin.
Trojanul infecteazã computerele cu sisteme de operare Windows
Malware-ul înșelãtor, numit Win32.Trojan.IcoScript.A, a cauzat probleme încã din 2012, fãrã a fi descoperit. Troianul, un sistem modular de administrare de la distanțã (RAT), infecteazã computerele cu Windows. Alte programe malware de acest gen se autoinjecteazã, de obicei, în procesele aplicațiilor, iar software-ul antivirus nu are nici o problemã în a detecta aceastã metodã. IcoScript, pe de altã parte, abuzeazã de interfața COM (Component Object Model) pentru a debloca accesul la Internet Explorer. Printre altele, interfața COM permite dezvoltatorilor sã scrie plug-in-uri pentru browser. Aceastã funcționalitate pune la dispoziția programatorilor de malware un loc ascuns pentru a compromite browser-ul, fãrã a fi observat de cãtre utilizator sau de protecția antivirus. Ulterior, datele de pe computer și din rețea aratã ca niște date complet normale de navigare. Mai mult decât atât, autorii de malware nu trebuie sã-și facã griji cu privire la setãrile din rețea; ele pot fi acceptate, deoarece au fost configurate în browser. "Acest malware adaptabil și variabil, care încorporeazã activitãțile sale în fluxuri de date regulate, creazã dificultãți majore departamentelor de securitate și sistemelor de protecție IT," spune Ralf Benzmuller, șef al G DATA SecurityLabs. " Malware-ul demonstreazã încã o datã cât de bine studiazã dezvoltatorii de malware mecanismele de apãrare."
IcoScript utilizeazã în mod abuziv serviciile de webmail pentru a prelua funcțiile de comandã
IcoScript funcționeazã prin utilizarea Internet Explorer pentru a abuza de servicii de webmail, cum ar fi Yahoo, pentru a prelua funcțiile sale de comandã și control. În scopul de a accesa e-mail-urile încãrcate în cãsuța poștalã, IcoScript a fost echipat cu propriul sãu limbaj de programare. Acest lucru îi permite sã execute acțiuni automate pe paginile portalurilor web. IcoScript.A realizeazã acest lucru prin deschiderea portalului de e-mail Yahoo, conectarea la acesta și preluarea e-mail-ului. Cautã codul de control al e-mail-ului, care este apoi transmis cãtre programul malware ca o comandã. E-mail-ul poate fi utilizat și pentru a trimite date din rețea." Acest proces nu este limitat doar la Yahoo, ci poate funcționa la fel de bine pentru numeroase portaluri web, cum ar fi Gmail, Outlook, etc. Chiar LinkedIn, Facebook și alte rețele sociale ar putea fi utilizate în mod abuziv în acest scop," explicã Benzmuller.
Virus Bulletin, o bază solidă în industria de antivirus
Analiza a fost publicatã în revista britanicã de IT, Virus Bulletin, sub titlul "IcoScript: Utilizarea Webmail-ului pentru a controla malware-ul". " IcoScript este un malware foarte neobișnuit. Suntem încântați cã articolul nostru a fost publicat în aceastã revistã de renume și privim acest lucru ca pe o recunoaștere a cercetãriilor întreprinse de echipa noastrã. Virus Bulletin este un element determinant în industria de antivirus în care și-a câștigat o reputație excelentã prin informarea independentã, obiectivã și profesionalã despre programele malware de-a lungul anilor," spune Benzmuller.
O versiune HTML a întregului articol este disponibilã pe website Virus Bulletin: https://www.virusbtn.com/virusbulletin/archive/2014/08/vb201408-IcoScript sau în format PDF: https://www.virusbtn.com/pdf/magazine/2014/vb201408-IcoScript.pdf.