TrendMicro vient de découvrir une nouvelle technique de propagation du botnet Koobface qui exploite Google Reader, le lecteur de fils RSS du groupe Internet éponyme.

L’objectif final étant de balancer par spam des URL à vocation d’agissements malveillants sur les réseaux sociaux comme Facebook, MySpace et Twitter.

Selon l’éditeur de sécurité IT qui a démonté la mécanique dans une contribution blog en date du 9 novembre, les pirates ont pris le contrôle de comptes Google Reader en y hébergeant des URL avec une image ressemblant à une vidéo Flash.

TrendMicro a recensé 1300 comptes-leurres, rien que pour cette attaque.

Les URL sont ensuite propagés par voie de spam vers les réseaux sociaux les plus populaires, Google Reader offrant des passerelles vers ces services communautaires.

Lorsque l’utilisateur d’un réseau clique sur l’image ou sur le titre du contenu partagé, il est re-routé vers une fausse page YouTube qui héberge un composant téléchargeur de Koobface.

Rappelons qu’un botnet a vocation à exploiter un réseau de PC zombies (ordinateurs contrôlé à l’insu de son utilisateur par un pirate informatique afin de mener des attaques de spam ou de phishing par exemple).

TrendMicro a pris le soin de contacter Google avant de communiquer sur cette attaque. Les URL-spams des comptes Google Reader sont désormais bloqués.

En 2008, Koobface avait fait des ravages sur des plates-formes comme Facebook, MySpace ou Bebo.