Pour recevoir ses ordres ou exfiltrer ses données, un nouveau type de malware d’espionnage s’appuient sur le mode brouillon de la messagerie de Google. Ce qui rend les échanges particulièrement discrets.




Une nouvelle technique de cyberespionnage particulièrement discrète vient d’être découverte aux Etats-Unis, par les experts de la société Shape Security. En analysant l’infiltration subie par une entreprise cliente, ils ont remarqué que le pilotage du malware et l’exfiltration des données se faisait par un canal redoutablement efficace : le mode brouillon de Gmail.
Comme le rappelle Wired, qui a interrogé Shape Security, cette technique avait déjà été utilisée par le passé dans un contexte totalement différent, à savoir l’échange de billets doux en 2012 entre le général David Petraeus, chef de la CIA, et sa maîtresse Paula Broadwell. Ce mode de communication avait un sérieux avantage : il ne génère aucun trafic suspect. Les deux amoureux disposaient d’un compte Gmail commun. Ils écrivaient leurs messages tour à tour sans jamais les envoyer, mais en les sauvegardant dans le dossier Brouillon.
Les pirates ont maintenant adapté cette façon de faire au cyberespionnage. Comme n’importe quel mouchard de ce type, le malware détecté par Shape Security communique avec un serveur externe pour recevoir ses ordres et transférer les données. Généralement, ces échanges se font par HTTP ou IRC. Mais, dans ce cas, ils s’appuient sur des messages brouillons Gmail. Après avoir infecté une machine, la malware lance une instance invisible d’Internet Explorer et se connecte à un compte précédemment configuré. Tout se passe donc comme si l’utilisateur se connectait à son compte Google.
Une variante avait déjà été détectée en août, basée sur Yahoo

Selon Shape Security, cette technique est particulièrement difficile à détecter pour les outils de prévention d’intrusion ou de perte d’informations. D’une part, Gmail est un domaine web considéré comme digne de confiance. D’autre part, les pirates prennent soin de chiffrer les données reçues ou envoyées, ce qui rend impossible toute analyse en temps réel du contenu transféré. Pour se protéger, il faudrait bloquer toutes les flux avec Gmail, ce qui est quasi impossible.
Une variante de ce malware avait été détectée en août dernier par les experts en sécurité deGData. Mais à l’époque, les échanges de données se faisaient par des emails Yahoo. Depuis, les pirates ont donc amélioré leur technique.