BitDefender détecte un premier essai de création d’un bot automatisé spécial Twitter
L’éditeur de logiciels de sécurité IT BitDefender a trouvé un kit de développement (SDK) pour créer un botnet à partir du réseau social Twitter. Un programme malware au stade expérimental ?
Les experts en sécurité IT connaissaient déjà les botnets.
Ce sont des réseaux d’ordinateurs zombies exécutant ensemble les commandes envoyées par leur maître (BotMaster) afin de saturer une infrastructure informatique par le biais d’une attaque de type deni de service distribué (DDoS).
Dans le domaine, les pirates rivalisent d’imagination comme le prouve la dernière découverte de BitDefender. Il s’agit d’un inquiétant kit de développement logiciel (SDK), baptisé TwitterNET Builder qui permettrait de créer un botnet à diriger à partir du réseau social Twitter. Et il pourrait avoir des répercussions au niveau de la mobilité.
L’éditeur de logiciels de sécurité a publié une mise à jour de protection d’urgence contre cette nouvelle menace, assurant la détection du cheval de Troie Trojan.TweetBot.A.
La création d’un bot personnalisé via Twitter serait simple selon BitDefender : l’attaquant doit lancer le SDK, indiquer un nom d’utilisateur Twitter qui agira comme centre de commande et de contrôle, modifier le nom du bot et son icône pour l’adapter à la méthode de distribution de son choix.
« Le bot ainsi créé interroge constamment le profil Twitter spécifié (disponible à l’adresse http://www.http://www.twitter.com/nomduprofil) à la recherche de posts ressemblant aux commandes spécialement conçues pour lui », explicite BitDefender dans un communiqué de presse. « L’attaquant dispose ensuite de commandes relativement simples à utiliser pour paramétrer les actions de son bot. »
Un éditeur concurrent comme Symantec a diffusé une vidéo sur YouTube pour expliquer la manière dont Trjona.TweetBot fonctionne et comment il peut être relayé via un smartphone.
TwitterNET Builder : UN SDK expérimental avec des défauts mais qui reste une source potentielle de menace
Selon BitDefender, il s’agirait de « l’une des premières tentatives de création d’un bot automatisé à utiliser avec Twitter ».
Néanmoins, le SDK TwitterNET Builder ne serait développé qu’à titre expérimental.
Car son créateur n’a pas particulièrement veillé à protéger les bots générés contre le reverse engeneering ou contre leur détection et leur arrêt. Ainsi, en supprimant le compte Twitter infecté, l’ensemble du botnet est détruit.
Il reste un détail troublant : le botmaster ne serait pas le seul à pouvoir se servir de l’outil malveillant.
Il existe un nom de compte Twitter secondaire (codé en dur et appelé @Korrupt) qui peut transmettre des commandes à tout bot généré avec cet outil.
« Même si, à ce stade de nos recherches le compte ne contient pas, jusqu’à maintenant, de trace d’activité criminelle » , précise BitDefender.
Mais il ne faut pas écarter potentiellement la menace. Un botmaster serait capable de déclencher une attaque à grande échelle en téléchargeant et en exécutant discrètement des malwares sur tous les systèmes zombies. Ou de mener une attaque de type DDOS en tapant simplement une ligne de texte sur Twitter à partir d’un smartphone.