Selon des chercheurs en sécurité de Symantec, un nouveau cheval de Troie introduit dans les navigateurs Internet parvient à afficher des publicités malveillantes pendant les sessions de navigation en détournant le protocole SPF (Sender Policy Framework) utilisé pour vérifier le nom de domaine de l'expéditeur d'un courrier électronique, et pour recevoir des instructions envoyées par des pirates, sans être détecté.

Comme l'a expliqué dans un blog le chercheur de Symantec Takashi Katsuki, « le but du malware Trojan.Spachanel est d'injecter du code JavaScript malveillant dans chaque page web ouverte sur les ordinateurs infectés ». Le malware ajoute des scripts HTML qui chargent des fichiers JavaScript depuis des URL distantes. « Une partie du code Javascript sert à afficher des publicités dans des fenêtres surgissantes pour tromper les utilisateurs et les inciter à cliquer dessus pour gagner de l'argent », explique le chercheur.

Un système de sécurité détourné pour tromper les utilisateurs 

Cependant, l'aspect le plus intéressant de ce logiciel malveillant, c'est la façon dont il reçoit les mises à jour des adresses URL envoyées par les pirates et comment il les intègre aux scripts HTML. « Périodiquement, le logiciel malveillant génère un nom de domaine en fonction d'un algorithme prédéfini et effectue une recherche de SPF. Comme ils savent à l'avance quel domaine sera généré, les attaquants l'enregistrent et configurent son SPF avec les adresses IP ou les noms d'hôte qui seront utilisés par le malware pour construire de nouvelles URL malveillantes.

Le protocole SPF a été conçu pour lutter contre l'usurpation de mail. Son mode de fonctionnement repose sur l'attribution de DNS. Ainsi, le propriétaire d'un nom de domaine peut spécifier une politique SPF. Il détermine le nombre d'adresses IP ou de noms d'hôte qui sont autorisés à envoyer des messages mails depuis ce domaine particulier. Cette information est enregistrée en TXT dans le DNS ou le SPF. Les serveurs de mails peuvent alors effectuer des recherches SPF via DNS afin de vérifier que les messages électroniques envoyés depuis ce domaine viennent bien d'une adresse IP autorisée par l'administrateur du domaine. Si l'adresse IP de l'expéditeur ou de l'hôte spécifiée dans l'entête d'un courriel ne figure pas dans la politique SPF pour le nom de domaine correspondant, c'est que l'adresse de l'expéditeur du message a probablement été falsifiée.

Le malware utilise les noms d'hôtes fourni par le SPF  

Dans le cas du Trojan.Spachanel, la politique SPF pour le nom de domaine n'est pas utilisée pour valider les emails, mais elle fournit au malware la liste de noms d'hôtes qu'il doit utiliser. Grâce à cette technique, les attaquants peuvent masquer le trafic malveillant et tromper le pare-feu et les autres solutions de sécurité susceptibles de bloquer les connexions directes entre le malware et les serveurs de commandement et de contrôle.

Pour effectuer des recherches SPF, le malware interroge un serveur DNS de confiance situé sur le réseau local ou le réseau du fournisseur de services Internet. Le serveur interroge ensuite les autres serveurs DNS de la chaîne jusqu'à ce que la demande parvienne au serveur DNS faisant autorité pour le nom de domaine, qui répond avec un enregistrement TXT ou SPF spécifiant la politique SPF. « Dans certains cas, les domaines sont bloqués par un serveur DNS local, mais ce malware génère un domaine qui est rarement filtré », explique encore Takashi Katsuki.