Des millions d’ordinateurs potentiellement infectés par #JesuisCharlie

Christophe Lagane,

Le malware DarkComet caché dans une photo taguée #JeSuisCharlie et largement relayé sur la Toile pourrait avoir infecté des millions de PC.

Les charognards de Charlie Hebdo ne sont pas les seuls à tenter de tirer profit de la marée médiatique qui a suivi l’attaque de la rédaction du journal satirique le 7 janvier dernier (notamment en cherchant à vendre le numéro « historique » à des prix indécents). Les pirates informatiques aussi. La société de sécurité Blue Coat a annoncé, le 14 janvier soit trois jours après le défilé hommage relayé à l’échelle planétaire, avoir découvert un malware affublé du slogan « JesuisCharlie » utilisé par tout un chacun pour exprimer tour à tour son soutien à l’hebdomadaire et son indignation face aux attentats qui ont fait 17 victimes. Un slogan qui a fait le tour du monde, notamment sur les réseaux sociaux.

Selon Blue Coat, le malware en question est construit à partir du fameux DarkComet RAT (également baptisé Fynloski), un outil d’administration système à distance doublé d’un puissant cheval de Troie qui installe des backdoor. Il se glisse dans une photo (ci-dessous) où l’on voit la main d’un nouveau né avec un bracelet marqué du slogan hommage au lieu du traditionnel prénom. Une photo qui, rien que sur Twitter, aurait été relayée plus de 5 millions de fois sachant que #JeSuisCharlie est devenu le hashtag le plus populaire de la plate-forme de microbloging en quelques jours.

Crédit : Blue Coat
Crédit : Blue Coat

DarkComet difficilement détectable

Si l’utilisateur clique sur la photo pour la télécharger, un pop-up surgit indiquant, en français, que le fichier a été créé dans une version antérieure de MovieMaker et est impossible à ouvrir. Mais DarkComet est activé. Une méthode d’infection d’autant plus redoutable que les utilisateurs se méfient rarement des risques liés aux images en ligne. De plus, développé en Delphi, le malware est glissé dans une enveloppe (wrapper) .NET. Ce qui le rend difficilement détectable par les antivirus courant. Blue Coat rapporte que seuls 2 des 53 scanners en ligne du service VirusTotal ont réussi à repérer l’agent malveillant.

L’hôte du système de Command and Control se rapporte à un sous-domaine du service d’adresse IP dynamique No-IP. Un service légitime de DNS dynamique « souvent utilisé par des acteurs malveillants », souligne Blue Coat. Ce qui rend quasi impossible la traçabilité des auteurs. « Ces organisations malintentionnées peuvent bouger très vite, a déclaré à Forbes Hugh Thompson, le responsable de la stratégie sécurité de l’éditeur américain. L’infrastructure qu’ils ont construite est très dynamique. Ces gens sont de véritables prédateurs. »

Les Français ciblés

A l’heure où l’entreprise de sécurité enquêtait, l’adresse utilisée par DarkComet était associée aux services d’Orange. « L’adresse IP française et le message d’erreur en français renforce l’impression que ce fichier cible les utilisateurs français, bien que nous n’avons aucune indication sur l’origine des assaillants et ce qu’ils cherchent », indique Blue Coat qui a évidemment alerté les autorités françaises.

Le lendemain du post de BlueCoat, près de 20 000 sites français étaient attaqués dans le cadre de la guerre numérique que mènent plusieurs groupes de pirates sous la bannière #OpFrance. Même si la plupart du temps il s’agissait d’opérations peu complexes de défaçage (défiguration de la page d’accueil), ou de déni de service, la campagne a surpris par son ampleur. Le tout dans un climat d’opposition entre les Anonymous et les cyber-djihadistes. Plus de 1300 attaques ont été revendiquées par ces derniers. Mais aucun lien n’est à ce jour établi entre cette campagne d’attaque et le malware DarkComet à l’origine écrit par le Français DarkCoderSc qui a abandonné le projet en 2012. Un projet qui n’a visiblement pas été perdu pour tout le monde.

L’élan autour de JeSuisCharlie constitue une nouvelle occasion pour les cybercriminels d’exploiter l’émotion internationale pour élargir leurs méthodes infectieuses. Ce fût déjà le cas lors du séisme qui touchait Haïti en 2010 (avec l’exploitation de faux liens d’appels aux dons vers la Croix rouge) ou, plus récemment, lors la propagation du virus Ebola (liens vers des contenus soi-disant à sensation). Autant d’événements qui nous rappellent que, malgré l’émotion, il faut redoubler de vigilance.

Lire également
Le gouvernement allemand ciblé par des attaques DDoS
Indisponibilité d’Oxalide : une erreur humaine et non une attaque
Sécurité : portrait-robot des attaques DDoS (infographie)

crédit photo © GlebStock – Shutterstock