Hammertoss : un malware qui utilise Twitter pour voler des données

La société de cybersécurité FireEye a découvert un malware, “Hammertoss”, qui utilise Twitter pour dérober des données sans être détectés par les solutions de sécurité. Les hackers, des cyberpirates russes membres d’un groupe nommé “APT 29” (probablement soutenu par le gouvernement), insèrent et dissimulent des bouts de code reliés à leur logiciel malveillant dans des images diffusées sur le réseau social.

« Alors que l’image semble être normale, elle contient en réalité des données qui permettent de dissimuler un message, une image ou un fichier dans un autre message”, explique FireEye dans son rapport. Grâce au malware, les pirates peuvent “voler des données” ou avoir ”accès aux ordinateurs” visionnant les images.

Un malware dissimulé par la sténographie

Les organisations gouvernementales, qui utilisent pratiquement toutes un compte Twitter, seraient particulièrement ciblées par Hammertoss. Dans les images envoyées aux cibles, les pirates placent des données chiffrées, au moyen du procédé de sténagographie. Une fois la photo (qui se trouve dans un tweet contenant une URL et un hashtag relié à Hammertoss) visionnée, le malware s’exécute via PowerShell, puis extrait des données depuis l’ordinateur visé, qu’il stocke ensuite dans un service de stockage Cloud.

Selon FireEye, il serait très difficile de détecter Hammertoss. En s’appuyant sur le “bruit” (trafic) généré par Twitter, autrement dit en se fondant dans la masse, Hammertoss serait capable cacher ses actions, et « de saper les efforts pour identifier les comptes Twitter utilisés pour attaquer, ou pour distinguer l’activité malveillante de l’activité normale ».

Par Fabien Soyez