Nouvelle menace virtuelle sur la place. Ce n’est pas qu’il soit tout à fait nouveau, puisqu’il a été lancé il y a au moins un mois, mais il n’attire l’attention que maintenant en gagnant en popularité. Le cheval de Troie appelé ?Backdoor.Makadoc ? de Symantec utilise quelques astuces pour éviter les puissants pare-feu. Et le pire : il semble avoir été élevé avec un intérêt particulier pour les internautes français.
Selon l’entreprise de sécurité, Backdoor.Makadoc utilise les vulnérabilités de Windows 8, sorti le 26 octobre en France, et de Windows Server 2012, présenté sur le marché en septembre.
En général, un cheval de Troie utilise un centre de contrôle et de commande (appelé C&C) pour recevoir des instructions dont les commandes à exécuter sur l’ordinateur de la victime. Cependant, au lieu de chercher ce serveur malveillant, la dernière version du cheval de Troie utilise Google Docs pour télécharger les commandes. C’est dans ce bref détail que Symantec a eu la surprise d’avertir de l’existence du logiciel malveillant.
Google Docs est devenu de plus en plus important pour de nombreuses entreprises, qui l’adoptent comme alternative à Microsoft Office ou libèrent l’accès aux outils en ligne en raison du besoin de partenaires commerciaux. Par conséquent, les chances que les domaines Docs soient bloqués dans les directives des grandes entreprises sont réduites.
En complément, le service de productivité de Google, avec son éditeur de texte, son tableur et sa présentation à la manière d’un PowerPoint, utilise le cryptage et la forme la plus sûre d’échange de données. En d’autres termes, en faisant en sorte que Backdoor.Makadoc se connecte à Google Docs, les pirates informatiques malveillants disposent d’une ligne téléphonique sans bruit. Selon Symantec, cette connexion ne peut se faire que grâce au visionneur Docs qui montre des parties des documents sans que le navigateur n’ait à télécharger le fichier lui-même.
D’après ce que rapporte la société de sécurité, le cheval de Troie a été distribué sous forme de fichier RTF (texte) ou Microsoft Word.
Backdoor.Makadoc utilise l’ingénierie sociale pour la diffusion. La capture d’écran présentée par Symantec montre que certaines parties du logiciel malveillant étaient clairement rédigées en français. Les “Admins. du domaine” et les “Administrateurs” sont présents dans le code extrait par l’entreprise.
Nous sommes en contact avec le bureau français de Symantec pour plus de détails.
Google a déclaré dans une note que toute activité malveillante enfreint les conditions d’utilisation du service Docs. Pour l’instant, pour autant qu’on puisse le dire, Microsoft ne s’est pas manifesté.
